Một số câu lệnh ssh kiểm tra server khi bị tấn công DDoS
1 | netstat -n | grep :80 |wc -l |
Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:
1 | netstat -n | grep :80 | grep SYN_RECV|wc -l |
Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
1 | netstat -an|grep :80 |awk 'print $5'|cut -d":" -f1|sort|uniq -c|sort -rn |
Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:
1 | netstat -an|grep :80|grep SYN |awk 'print $5'|cut -d":" -f1|sort|uniq -c|sort -rn |
Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:
1 | netstat -plan | grep :80 | awk 'print $4'| cut -d: -f1 |sort |uniq -c |
Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
| 1 | | netstat -an | grep ':80' | awk 'print $5' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq -c |
Hiển thị số lượng kết nối mỗi loại:
1 2 3 4 5 6 7 | netstat -an | grep :80 | awk 'print $6' | sort | uniq -c61 ESTABLISHED13 FIN_WAIT117 FIN_WAIT21 LISTEN25 SYN_RECV298 TIME_WAIT |
Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
Mã:
| 1 | | watch "netstat -an | grep ':80' | awk 'print \$5' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c" |
Mã:
1 | watch "netstat -an | grep :80 | awk 'print \$6' | sort | uniq -c" |