我的linux服务器正在被人攻击,怎么办啊,快救命
被攻击后只能换带有防御的服务器来使用.目前最常见的攻击类型就是DDOS和CC攻击.如果是DDOS攻击.建议选择带硬防的服务器.通常硬防越大,防御效果越好.如果是CC攻击.不单纯的是靠硬防来防御.还需要机房结合攻击的不同种类做安全策略调整才可以.当然,也有机房是可以综合防御各种攻击的.比如说江苏电信高硬防机房.配置有40G的硬防.不仅可以防DDOS.UDP.SYN等攻击.而且机房针对CC攻击设置有不同的防御策略.在这方面的防御也非常出色.值得推荐.
海腾数据杨闯为你解答.个人建议.仅供参考.若有相关问题需要帮忙的可以找我.
linux服务查看攻击者的IP的命令是什么
这个涉及到入侵检测类
如果木马是潜伏期,比较复杂,一时半会给你讲不清楚
如果木马是活动期,正在大流量发包,
方法如下
1、iptraf -f,然后 选 IP traffic monitor
指定你的网卡
会看到很多对应关系,这样就可以找到发包最大的IP对应关系出来
2、netstat -tuanp |grep 大流量ip ,会得到对应进程
3、iptables限制其出网
4、kill并删除对应进程,然后查看/etc/rc.d 有没有被注东西,包括chkconfig等,所有系统自起的全看看,,详细的可以查询一下入侵检测部分时间有限不一 一说了
Linux 系统如何通过 netstat 命令查看连接数判断攻击
很多时候我们会遇到服务器遭受 cc 或 syn 等攻击,如果发现自己的网站访问异常缓慢且流量异常。可以使用系统内置 netstat 命令 简单判断一下服务器是否被攻击。常用的 netstat 命令
该命令将显示所有活动的网络连接。
查看同时连接到哪个服务器 IP 比较多,cc 攻击用。使用双网卡或多网卡可用。
查看哪些 IP 连接到服务器连接多,可以查看连接异常 IP。
显示所有 80 端口的网络连接并排序。这里的 80 端口是 http 端口,所以可以用来监控 web 服务。如果看到同一个 IP 有大量连接的话就可以判定单点流量攻击了。
这个命令可以查找出当前服务器有多少个活动的 SYNC_REC 连接。正常来说这个值很小,最好小于 5。 当有 Dos 攻击或的时候,这个值相当的高。但是有些并发很高的服务器,这个值确实是很高,因此很高并不能说明一定被攻击。
列出所有连接过的 IP 地址。
列出所有发送 SYN_REC 连接节点的 IP 地址。
使用 netstat 命令计算每个主机连接到本机的连接数。
列出所有连接到本机的 UDP 或者 TCP 连接的 IP 数量。
检查 ESTABLISHED 连接并且列出每个 IP 地址的连接数量。
列出所有连接到本机 80 端口的 IP 地址和其连接数。80 端口一般是用来处理 HTTP 网页请求。
显示连接 80 端口前 10 的 ip,并显示每个 IP 的连接数。这里的 80 端口是 http 端口,所以可以用来监控 web 服务。如果看到同一个 IP 有大量连接的话就可以判定单点流量攻击了。
0条大神的评论