Chinaunix

标题: 怀疑被人攻击，最强烈的郁闷中 [打印本页]

作者: ability 时间: 2006-03-07 10:53
这么链接,多半是被DDOS了
你使用这个命令可以查出哪个IP地址连接最多,将其封了.
netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r +0n
netstat -na|grep SYN|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r +0n

[ 本帖最后由 HonestQiao 于 2006-3-8 15:27 编辑 ]

作者: superliu_1980 时间: 2006-03-08 09:10
我正好也有这种现象，谢谢！

作者: joey945 时间: 2006-03-08 14:28
标题: 回复 1楼 caiwolf 的帖子
windows上的netstat是否也能统计某个端口的连接数量？好像没有－t选项哦。

作者: HonestQiao 时间: 2006-03-08 15:27
windows不能，使用其他的工具软件吧。

作者: 万里北国 时间: 2006-03-09 01:18
DOS可以封，DDOS有办法吗？

作者: lxl_018 时间: 2006-03-09 12:55
windows底下可以用这个命令：netstat -an | find /C ":80" /I

作者: fnaps 时间: 2006-03-09 15:33
netstat -an | find /C ":80" /I
这个命令查出来的就一个数？这个数代表什么？
至于LINUX的那两条命令，实在不错，收下了。先谢了。

作者: pod 时间: 2006-03-09 17:54

原帖由 lxl_018 于 2006-3-9 12:55 发表
windows底下可以用这个命令：netstat -an | find /C ":80" /I

作者: lxl_018 时间: 2006-03-10 12:42

原帖由 fnaps 于 2006-3-9 15:33 发表
netstat -an | find /C ":80" /I
这个命令查出来的就一个数？这个数代表什么？

当前开放的80端口的连接有多少。具体可查看find命令的帮助。

作者: yangprc 时间: 2006-03-12 19:25
thx

作者: Godfatherwang 时间: 2006-03-15 10:07
好啊，正好用得着

作者: werich 时间: 2006-03-16 10:22
查询的语句经典，收下

作者: obrire 时间: 2006-03-27 11:16
标题: 这种还简单些
以前用iptables做防火墙，用Linux做路由器，后来倒不是外部的来攻击80/25/21，倒
是内部的BT之类的搞得连接太多，其它人差点上不了网。

怎么办呀？一描，查到连接数超过40的，就封了。可人家后面还要上网呀？
怎么才能限制一个IP/MAC只能限定连接数，限定端口？不能时不时的启动iptables?
有没有工具能自动实时检测连接数呀？

作者: 半边糖果 时间: 2006-03-28 10:48
偶查了
224 127.0.0.1
这个好象是本地连接怎么这么多？？？

作者: xxjoyjn 时间: 2006-03-28 19:15
我的服务器也有这种情况呢

作者: benkernel 时间: 2006-04-13 14:05
新手，有帮助，多谢

作者: cnbird 时间: 2009-01-25 18:51
现在大多数的DDOS都是利用的可怜的终端用户作为攻击的带宽,如果你用iptables封IP的话如果是正常的用户的可能也被封了,自己感觉不太好

作者: dashan79 时间: 2009-02-25 11:34
当DDos来攻击的时候，如果流量达到几个G或者说超过你的总流量，除非你前端有很强的防火墙，不然像一个大石头堵住你的瓶口。

作者: gyp334a 时间: 2009-02-25 16:20
后事如何？

作者: 我是DBA 时间: 2009-02-25 22:24
我以前也碰到过这种情况，连接数很多，正常的少，但是服务器不会慢。奇怪

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)