linux攻击

Ⅰ Linux系统如何确认是否遭受CC攻击

在Linux系统中，可以通过以下步骤来确认是否遭受CC攻击：

1. 检查80端口的连接数：

   • 使用命令netstat nat|grep i 80|wc l来显示活跃的连接数量。
   • 如果结果异常增多，可能表明系统正在遭受CC攻击。

2. 查看每个IP的连接数：

   • 使用命令netstat ntu | awk '{print $5}' | cut d: f1 | sort | uniq c | sort n来排序每个IP的连接数。
   • 高连接数的IP可能是攻击源。

3. 检查TCP连接状态：

   • 使用命令netstat nat | awk '{print $6}' | sort | uniq c | sort rn来找出连接状态异常的连接。
   • 异常状态的连接可能表明正在遭受攻击。

4. 查看所有TCP状态的连接数：

   • 使用命令如netstat n | awk '/^tcp/ {++S[$NF]}; END {for print a, S[a]}或netstat n | awk '/^tcp/ {++state[$NF]}; END {for print key, "t", state[key]}。
   • 异常状态的连接数增多可能表明攻击。

5. 列出每个IP的连接数：

   • 使用命令netstat n | awk '/^tcp/ {++arr[$NF]}; END {for print k, "t", arr[k]}。
   • 高频率连接的IP值得怀疑，可能是攻击源。

6. 查看非本地连接和80端口连接最多的IP：

   • 使用命令netstat ant | awk '{print $NF}' | grep v [az] | sort | uniq c查看所有非本地连接。
   • 使用命令netstat anlp | grep 80 | grep tcp | awk '{print $5}' | awk F: '{print $1}' | sort | uniq c | sort nr | head n20查看80端口连接最多的前20个IP。
   • 连接数异常多的IP可能是攻击源。

7. 检查SYN_RECV状态：

   • 使用命令netstat an | grep SYN_RECV | awk '{print $5}' | awk F: '{print $1}' | sort | uniq c | sort nr。
   • 如果SYN_RECV状态数量过多，可能是SYN洪水攻击的迹象，这也是CC攻击的一种形式。

通过上述步骤，结合对系统知识的理解，可以有效地检测Linux系统是否遭受CC攻击。如果确认遭受攻击，可以使用iptables等命令封堵可疑IP，并采取相应的安全措施。