echo “Saving current connections…”
# netstat -nta > /tmp/netstat.txt
echo “Number of connections per IP…”
# cut -b 49-75 /tmp/netstat.txt | grep -o -P “\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b” | sort | uniq -c | sort -n -r -k 1,7 | head -10
从netstat输出结果中提取每个IP地址的连接数量,计算每个连接保持的连接时间,同时输出10个连接数量最大的IP地址,从中可以发现是否存在单个IP建立了过多的连接到serve,采取措施来阻止这个IP。
echo “States of connections…”
# cut -b 77-90 /tmp/netstat.txt | sort | uniq -c
从netstat 输出结果中提取不同状态的连接数量。以此来计算各种状态下的连接时间。
如果在SYN_RECV这个状态下面存在大量的连接,可能存在syn-flood攻击。
echo “Number of SYN_RECV connections per IP…”
# grep “SYN_RECV” /tmp/netstat.txt | cut -b 49-75 | cut -d ‘:’ -f1 | sort | uniq -c | sort -n -r -k 1,7 | head –10
使用grep netstat的输出结果来看看各IP地址在SYN_RECV状态下建立的连接,以此来计算单IP的连接情况,列出10个SYN_RECV连接数量最大的IP。如果以上命令没有输出,则说明SYN_RECV状态没有异常
根据以上列出的一些命令,你已经分析出连接到你server目前的连接基本状态。但是这还是不够的。因为你有可能看不到很多正在建立的“短”连接。为了分析这些新建立的连接,你可以这么做:
echo “Count number of new connection requests over the next 100 packets…”
# time tcpdump -ns 200 -c 100 ‘(dst port http or dst port https) and tcp[13] & 2!=0′ | grep -o -P ‘\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}.\d{1,5}\s\>’ | cut -d ‘.’ -f 1-4 | sort | uniq -c | sort -n -r -k 1,7 | head -25
在这条命令中,参数-c定义分析的数据包数量。