1.DOS攻击原理

拒绝服务攻击（DoS攻击）或分布式拒绝服务攻击（DDoS攻击）是企图使其预期用户无法使用计算机或网络资源。此攻击通常针对托管在高级Web服务器上的站点或服务，例如银行，信用卡支付网关甚至根名称服务器。DoS攻击是通过强制目标计算机重置或消耗其资源以使其无法再提供其服务或阻碍用户与受害者之间的通信媒体以使其无法再充分通信来实现的。

2.Netstat命令识别洪水攻击过程

我接下来演示提有关如何使用netstat命令识别DDOS攻击的概述。

#netstat -na

显示与服务器的所有活动Internet连接，并且仅包括已建立的连接。

#netstat -an | grep：80 | 分类

在端口80上仅显示与服务器的活动Internet连接并对结果进行排序。通过允许您识别来自一个IP的许多连接，可用于检测单个洪水。

#netstat -n -p | grep SYN_REC | wc -l

了解服务器上正在发生的SYNC_REC数量。这个数字应该相当低，最好少于5个。在DoS攻击事件或邮件炸弹中，这个数字可以跳得很高。但是，该值始终取决于系统，因此较高的值可能是另一台服务器上的平均值。

#netstat -n -p | grep SYN_REC | 排序-u

列出所涉及的所有IP地址。

#netstat -n -p | grep SYN_REC | awk'{print $ 5}’| awk -F：'{print $ 1}’

列出发送SYN_REC连接状态的节点的所有唯一IP地址。

#netstat -ntu | awk'{print $ 5}’| cut -d：-f1 | 排序| uniq -c | 排序-n

使用netstat命令计算和计算每个IP地址对服务器的连接数。

#netstat -anp | grep’tcp | udp’| awk'{print $ 5}’| cut -d：-f1 | 排序| uniq -c | 排序-n

列出使用TCP或UDP协议将IP连接到服务器的连接数。

#netstat -ntu | grep ESTAB | awk'{print $ 5}’| cut -d：-f1 | 排序| uniq -c | sort -nr

检查ESTABLISHED连接而不是所有连接，并显示每个IP的连接数。

#netstat -plan | grep：80 | awk {‘print $ 5’} | cut -d：-f 1 | sort | uniq -c | sort -nk 1

显示连接到服务器上端口80的IP地址及其连接数。端口80主要由HTTP协议使用。

这些是我日常经验之谈，希望对你有帮助！