被攻击表现
1.cpu爆满,卡顿
2.网络流入流出流量异常
3.服务器连接不上,网络异常
排查步骤
a.检测syn攻击
netstat -n -p -t
便宜美国vps LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击
b.查看单个ip连接数
netstat -na|grep ESTABLISHED|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -r -n
如果某个ip连接数非常多,上百的这种,有可能是异常,另外可以查看某个端口的占用情况,发现很多连接的话,那么也有可能这个端口被攻击了
查看80端口活跃连接
netstat -n | grep 80 |wc -l
查看80端口占用
netstat -anp|grep 80
c.增加策略
只是同一个ip攻击的时候,屏蔽一个IP
iptables -I INPUT -s 192.168.10.99 -j DROP
防止ping,屏蔽ICMP就行了
iptables -A INPUT -p icmp -j DROP
安装 DDoS deflate
https://www.aliyun.com/zixun/content/2_6_518775.html
