技巧7——如何使用netstat命令验证DDOS入侵？

什么是DOS攻击（拒绝服务攻击）
DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击
其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源
目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃
而在此攻击中并不包括侵入目标服务器或目标网络设备，这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接
这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果

什么是DDOS攻击（分布式拒绝服务攻击）？
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台
对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力
通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯
代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。
利用客户/服务器技术，主控程序能在几秒钟内**成百上千次代理程序的运行

重点

一般来说，服务器非常慢的原因可能是多方面的，有可能是配置错误、脚本错误、一些硬件的问题
也有可能是有人对你的服务器进行了Dos（拒绝服务工具）或者DDOS（分布式拒绝服务攻击）
dos攻击或者ddos攻击主要目的是使服务器或者网络资源耗尽，使其它用户服务使用服务器的资源
一般来说，这种攻击主要针对重要的网站或者服务，比如银行、信用卡、支付网关甚至是根域名服务器
dos攻击主要是通过强制目标主机重启或者大量消耗目标主机的资源
使得目标主机无法提供正常的服务或者妨碍目标主机和用户之间的通信，使得主机无法提供正常的服务

本文将教你如何在终端中使用netstat命令判断你的服务器是否遭受dos攻击

• netstat -na显示服务器所有活动的网络连接

• netstat -an | grep 80 | sort显示所有的80端口的网络连接并且排序
  这里的80端口是http端口，因此可以用来监控web服务
  如果可以看到同一个IP有大量连接的话就可以判定单点流量攻击了
  

• netstat -n -p | grep SYN_REC | wc -l 可以查出当前服务器有多少个活动的SYNC_REC连接，正常来说这个值最好小于5
  当有dos攻击或者邮件炸弹的时候，这个值会非常高；有时候也和系统自身也有关系，高也属于正常现象
  

• netstat -n -p | grep SYN_REC | sort -u 列出所有连接过的IP地址
  
  如何减少DOS攻击

一旦你获得了攻击服务器的ip地址，你就可以使用下面的命令拒绝此ip的所有连接

• iptables -A INPUT | -s $IPADRESS(你要拒绝的ip) -j DROP/REJECT
• killall -KILL httpd结束所有的httpd连接清理系统
• systemctl restart httpd重启apache服务