发现DDOS攻击者

1589阅读　0评论2007-08-22　Mozer
分类：LINUX

netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

查看服务器上访问的链接情况

大体结果如：

161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...

大多连续ip和端口号的超过50个，基本可以认为是攻击！