停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!

发布者:上海IT外包来源:http://www.lanmon.net点击数:1164

信息安全是系统管理员关注的焦点。在日常工作中,我们经常遇到CC攻击和DDoS网络攻击。以下提供了Linux操作系统下常用的网络连接分析命令的一些组合,以帮助我们判断攻击特征并及时处理网络安全问题。
1.显示所有活动的网络连接
#netstat -na
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
2.查看所有80个端口的连接数
#netstat -nat | grep -i“80”| wc -l
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
3.按连接数对连接的IP进行排序
#netstat -ntu | awk'{print $ 5}'| cut -d: -f1 |排序| uniq -c |排序-n
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
4.查看具有最多80个端口的20个IP地址。
#netstat -anlp | grep 80 | grep tcp | awk'{print $ 5}'| awk -F:'{print $ 1}'| sort | uniq -c | sort -nr | head -n20
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
5.查找更多time_wait连接
#netstat -n | grep TIME_WAIT | awk'{print $ 5}'| sort | uniq -c | sort -rn | head -n20
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
6.查找更多SYN连接
#netstat -an | grep SYN | awk'{print $ 5}'| awk -F:'{print $ 1}'|排序| uniq -c | sort -nr |更多停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
7.查看同时连接到哪个服务器IP。
确定cc攻击,使用双网卡或多个可用的网卡。
#netstat -an | awk'{print $ 4}'| sort | uniq -c | sort -nr | head
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
8.查看连接到服务器的IP连接。
您可以查看连接例外IP。
#netstat -an | awk -F:'{print $ 2}'| sort | uniq -c | sort -nr | head
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
9.显示所有80端口网络连接并排序
这里的端口80是http端口,因此它可用于监视Web服务。如果您看到与同一IP的大量连接,则可以确定单点流量攻击。
#netstat -an | grep: 80 |分类
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
10.找出服务器上当前有多少活动SYNC_REC连接
通常这个值很小,最好小于5.当有Dos攻击时,这个值非常高。但是,一些具有高并发性的服务器确实很高,因此它不足以表明它们必须受到攻击。
#netstat -n -p | grep SYN_REC | wc -l
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
11.列出所有连接的IP地址
#netstat -n -p | grep SYN_REC |排序-u
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
12.列出发送SYN_REC连接节点的所有IP地址
#netstat -n -p | grep SYN_REC | awk'{print $ 5}'| awk -F:'{print $ 1}'
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
13.使用netstat命令计算每台主机连接到此计算机的连接数。
#netstat -ntu | awk'{print $ 5}'| cut -d: -f1 |排序| uniq -c |排序-n停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
14.列出连接到此计算机的所有UDP或TCP连接的IP数
#netstat -anp | grep'tcp | udp'| awk'{print $ 5}'| cut -d: -f1 |排序| uniq -c |排序-n
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
15.检查ESTABLISHED连接并列出每个IP地址的连接数
#netstat -ntu | grep ESTAB | awk'{print $ 5}'| cut -d: -f1 |排序| uniq -c | sort -nr
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
16.列出连接到设备端口80的所有IP地址及其连接
端口80通常用于处理HTTP网页请求。
#netstat -plan | grep: 80 | awk'{print $ 5}'| cut -d: -f 1 | sort | uniq -c | sort -nk 1
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
17.显示80端口前10位的IP,并显示每个IP的连接数。
这里的端口80是http端口,因此它可用于监视Web服务。如果您看到与同一IP的大量连接,则可以确定单点流量攻击。
#netstat -antp | awk'$ 4~ /: 80 $/{print $ 4''$ 5}'| awk'{print $ 2}'| awk -F: {'print $ 1'} | uniq -c | sort -nr |头-n 10
停止ping-18必要的Linux网络连接命令,以帮助您控制黑客的行踪!
18.使用tcpdump捕获数据包
#tcpdump -i eth0 tcp和port 9000 -C 100 -W 1 -w /tmp/9000.pcap
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部