晚上分析网站日志发现, 又遭受网络攻击, 郁闷. 通过抓包发现大量数据包涌入, 过滤其中的IP, 发现只有几个IP是集中的, 其它的都是分散的IP, 想象不到无聊的人还真是挺多的.
统计TCP连接各状态数量: netstat -an |grep -i “网站IP:80″|awk ‘{print $6}’ |sort|uniq -c|sort -n
抓包命令: tcpdump -n port 80 and tcp[13]==2 返回类似如下: 15:24:58.462333 IP 221.***.139.***.46209 > 58.***.87.**.http: S 1381758383:1381758383(0) win 5840 解释: 时间 IP 源IP.端口 〉目的IP.端口 : SYN 序列号.序列号 窗口 窗口大小。 抓2-3秒统计IP,发生很多请求的IP就是异常IP
姓名 (*)
EMail地址 (*)
网址
统计TCP连接各状态数量:
netstat -an |grep -i “网站IP:80″|awk ‘{print $6}’ |sort|uniq -c|sort -n
抓包命令:
tcpdump -n port 80 and tcp[13]==2
返回类似如下:
15:24:58.462333 IP 221.***.139.***.46209 > 58.***.87.**.http: S 1381758383:1381758383(0) win 5840
解释:
时间 IP 源IP.端口 〉目的IP.端口 : SYN 序列号.序列号 窗口 窗口大小。
抓2-3秒统计IP,发生很多请求的IP就是异常IP