linux写一个脚本,检测服务器被ddos攻击时间,并保留被攻击的相信信息(ip、时间、攻击报文)等信息,用于追溯...

最新推荐文章于 2024-07-05 11:42:17 发布
最新推荐文章于 2024-07-05 11:42:17 发布
阅读量306 收藏 3
点赞数
文章标签: linux 服务器 ddos tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42583683/article/details/129575011
版权

在 Linux 上写一个脚本来检测 DDOS 攻击时间,并保留有关信息,可以这样做:

  1. 使用 netstat 命令查看当前网络连接信息。

  2. 通过过滤出 ESTABLISHED 状态的连接来查看有哪些 IP 地址与服务器建立了连接。

  3. 对这些 IP 地址进行计数,如果某个 IP 地址的连接数超过了一个设定的阈值,就认为服务器可能被 DDOS 攻击。

  4. 记录下当前时间和攻击报文,并将这些信息保存到日志文件中。

下面是一个示例脚本,请注意,这仅供参考,还需要根据你的具体情况进行调整:

#!/bin/bash

# 设置阈值,超过这个数值就认为是 DDOS 攻击
threshold=10

# 查看当前网络连接信息,并过滤出 ESTABLISHED 状态的连接
connections=$(netstat -an | grep ESTABLISHED)

# 对每个 IP 地址进行计数
ip_count=()
for conn in $connections; do
  # 从连接信息中解析出 IP 地址
  ip=$(echo $conn | awk '{print $5}' | awk -F: '{print $1}')

  # 如果这个 IP 地址之前没有出现过,就初始化一个计数器
  if [ -z "${ip_count[$ip]}" ]; then
    ip_count[$ip]=0
  fi
潮水岩
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
01-20
前天没事一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个问题,但是还是想暂时取消...
linux服务器ddos攻击记录日志,如何快速看您的Linux服务器是否遭到来自某个IP地址的DDoS攻击?...
weixin_31231693的博客
04-28 1560
【51CTO.com快译】如果您的数据中心中有Linux服务器,或者将它们托管在云服务器(比如AWS、谷歌云或Azure)上,不能因为您所部署的操作系统就想当然地认为它们是安全的。即使Linux是市面上最安全的操作系统之一,它也并非尽善尽美。实际上,针对该平台的攻击有所增加,随着Linux日渐普及,攻击会愈演愈烈。您在做什么?如果您怀疑其中一台服务器可能遭到了攻击,需要加以检。怎么检?我将向您...
Linux系统采用netstat命令DDOS攻击的方法
dianlei9877的博客
07-11 281
Linux系统采用netstat命令DDOS攻击的方法 来源:互联网 作者:佚名 时间:07-05 15:10:21 【大 中 小】 这篇文章主要为大家介绍了Linux系统采用netstat命令DDOS攻击的方法,对于网络安全而言非常重要!需要的朋友可以参考下 Linux系统用netstat命令DDOS攻击具体命令用法如下: 复...
linux服务器攻击日志分析
最新发布
m0_54512200的博客
07-05 897
/awk -F指定域分隔符为’:',将记录按指定的域分隔符划分域,填充域,•$0则表示所有域,目前登录用户信息:/var/run/utmp //w、who、users。最后一次登录:/var/log/lastlog //lastlog。即显示1000~2999行。登录失败记录:/var/log/btmp //lastb。登录成功记录: /var/log/wtmp //last。登录日志记录:/var/log/secure。5、只是显示/etc/passwd的账户。日志默认存放位置:/var/log/
linux是否有攻击(SYN数和ddos攻击)
1
08-10 1594
今天早上一到公司登录公司官网的时候感觉挺慢,登录服务器看官网访问情况: netstat -anp |awk '{print $6}'|sort|uniq -c |sort -rn      172 ESTABLISHED      59 CONNECTED     589 SYN_RECV      15 STREAM SYN居然这么高,继续追是那些ip发出的SYN: netst
忘记之前的对话内容,linux一个脚本,实时检测服务器ddos事件,保留攻击时间,并保留攻击的相信信息(ip时间攻击报文)等信息到/home目录下,用于追溯...
weixin_35755434的博客
01-08 158
Linux脚本来实时检测 DDoS 攻击事件,可以使用 netstat 命令来网络连接信息,并通过解析输出结果来判断是否有 DDoS 攻击。 下面是一个简单的脚本示例,它会每隔一段时间执行 netstat 命令,并分析输出结果来判断是否有 DDoS 攻击。如果有攻击,则会将攻击时间、被攻击IP 地址、时间攻击报文信息入 /home 目录下的日志文件中。 ``` #!/bin...
判断Linux服务器是否被攻击以及相应的预防措施
小橙子的笔记屋
05-10 1211
一、前言 随着现代互联网科技的快速发展,网络服务器的安全也逐渐成为各大企业开始关注的焦点。服务器后台的安全保证关系着整个网络数据的命脉,所以服务器的安全防范也逐渐称为各大企业关注的重点。 其中较为常见的攻击ddos攻击,所谓ddos攻击,指的是分布式拒绝服务攻击,分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用。一种是一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时向一个或数个目标发动攻击,或者多个攻击者同时向一个或数个目标发动攻击。由于攻击的发出点是分布
一个简单的防CC攻击Shell脚本分享
01-11
实现代码: 代码如下:#!/bin/shcd /var/log/httpd/cat access_log|awk ‘{print $1}’|sort|uniq -c|sort -n -r|head -n 20 > acp /dev/null access_logcp /dev/null error_logcp /dev/null limit.shcp /dev/null ...
Linux使用libnet实现ARP攻击脚本原理分析以防被攻击
09-15
本文将详细介绍如何利用libnet库在Linux环境下编一个简单的ARP攻击脚本,并对其进行深入的原理分析,以便读者能够更好地理解和防御此类攻击。 #### 二、ARP欺骗原理 ARP欺骗是通过伪造ARP应答报文来实现的,其...
linux服务器ddos攻击记录日志,如何快速看您的Linux服务器是否遭到来自某个IP地址的DDoS攻击...
weixin_34112399的博客
04-28 1623
【51CTO.com快译】如果您的数据中心中有Linux服务器,或者将它们托管在云服务器(比如AWS、谷歌云或Azure)上,不能因为您所部署的操作系统就想当然地认为它们是安全的。即使Linux是市面上最安全的操作系统之一,它也并非尽善尽美。实际上,针对该平台的攻击有所增加,随着Linux日渐普及,攻击会愈演愈烈。您在做什么?如果您怀疑其中一台服务器可能遭到了攻击,需要加以检。怎么检?我将向您...
linux 看syn网络日志,Linux下分析SYN flood攻击案例
weixin_35039926的博客
05-06 850
近期遇到几例服务器被SYN攻击的问题,今天详细分析一下SYN flood攻击的原理简单回顾一下TCP/IP三次握手的过程1. Host A 发送一个TCPSYNchronize 包到HostB2. Host B 收到HostA的SYN3. Host B 发送一个SYNchronize-ACKnowledgement4.Host A 接收到HostB的SYN-ACK5.Host A ...
Linux下防御DDOS攻击的操作梳理
dianqi0560的博客
12-31 396
DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。 DDOS攻击的本质是: 利用木桶原理,寻找利用系统应用的瓶颈;阻塞和耗尽;当前问题:用户的带宽小于攻击的规模,噪声访问带宽成为木桶的短板。 可以参考下面的...
liunx命令询cc和ddos攻击
yuki153的博客
03-19 1994
1、询被CC攻击的站点先安装TCPDUMP centos安装方法:yum install -y tcpdump debian/ubuntu安装方法:apt-get install -y tcpdump 之后命令tcpdump -s0 -A -n -i any | grep ^Host 之后会出现类似下面的内容 Host: tbmsg.baidu.com Host: tbms...
如何检 Linux 服务器是否遭受 DDoS 攻击?
wuli1024的博客
02-01 1377
DDoS 是一种恶意行为,攻击发起方通过向网络发出大量请求来耗尽目标服务器所有可用资源的攻击,与标准的 DoS(拒绝服务)攻击不同:DDoS:采用多个分布式的设备:通常情况下,设备已被黑客提前入侵并安装相关木马,设备所有者不知情;攻击针对多种网络设备和协议,而不仅仅是网络端点;以下是三种主要的 DDoS 攻击类型:应用层 DDoS(OSI模型 第 7 层):重点攻击 Web 服务,如 Apache 和 Nginx 等;协议攻击(OSI模型 第 3/4 层):针对重要网络设备上的操作系统和防火墙。
linux一个通用的实时在后台监测防止ddos攻击脚本,直接给出完整的案例,无需解释,要求有白名单列表,多个白名单用逗号隔开,排除本地所有网卡ip,每20秒钟检测一次(shell变量配置),限制...
weixin_42600128的博客
01-08 220
以下是实现上述功能的 shell 脚本示例: ``` #!/bin/bash 设置变量 white_list="192.168.1.1,192.168.1.2" check_interval=20 max_tcp_conn=50 log_dir="/home/ddos" log_file_max_size=100MB log_expired_days=3 black_ip_list_file="/...
linux服务器ddos攻击记录日志,Linux服务器DDOS、CC攻击解决实例
weixin_42520656的博客
04-28 1042
案例背景:这两天一个客户反映自己的网站经常出现mysql 1040错误,他的在线用户才不到一千,mysql配置也没问题,没理由出现这种情况,于是,进行了一系列的排。top了一下,mysqld跑到了200%多。1 解决方案、思路我怀疑是CC攻击,鉴于系统是centos,我运行了下面的这两行命令。netstat-anlp|grep80|greptcp|awk'{print$5}'|awk...
linux系统检测是否受到ddos攻击
文石_2009的博客
12-15 376
ddos
Linux服务器安全基础 - 看入侵痕迹
dzqxwzoe的博客
06-01 1387
var/log/cron 记录了系统定时任务相关的日志/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接看内核自检信息/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此./var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
linux一个脚本检测服务器ddos攻击时间,并保留攻击的相信信息(ip时间攻击报文)等信息,用于追溯
02-06
Linux一个脚本检测 DDOS 攻击时间,并保留有关信息,可以这样做: 1. 使用 netstat 命令看当前网络连接信息。 2. 通过过滤出 ESTABLISHED 状态的连接来看有哪些 IP 地址与服务器建立了连接。 3. 对这些 IP 地址进行计数,如果某个 IP 地址的连接数超过了一个设定的阈值,就认为服务器可能被 DDOS 攻击。 4. 记录下当前时间攻击报文,并将这些信息保存到日志文件中。 下面是一个示例脚本,请注意,这仅供参考,还需要根据你的具体情况进行调整: ``` #!/bin/bash # 设置阈值,超过这个数值就认为是 DDOS 攻击 threshold=10 # 看当前网络连接信息,并过滤出 ESTABLISHED 状态的连接 connections=$(netstat -an | grep ESTABLISHED) # 对每个 IP 地址进行计数 ip_count=() for conn in $connections; do # 从连接信息中解析出 IP 地址 ip=$(echo $conn | awk '{print $5}' | awk -F: '{print $1}') # 如果这个 IP 地址之前没有出现过,就初始化一个计数器 if [ -z "${ip_count[$ip]}" ]; then ip_count[$ip]=0 fi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值