Cacti 显示我的服务器带宽异常且相当稳定(是正常情况的 40 倍),所以我猜想服务器正在遭受某种 DDoS 攻击。传入带宽没有使我的服务器瘫痪,但当然会消耗带宽并影响性能,因此我迫切希望找出可能的罪魁祸首 IP,将它们添加到我的拒绝列表中或以其他方式对其进行反击。当我运行:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
我得到了一个很长的 IP 列表,每个 IP 最多有 400 个连接。我检查了出现次数最多的 IP,但它们来自我的 CDN。所以我想知道有什么最好的方法可以帮助监控每个 IP 发出的请求,以便查明恶意请求。我正在使用 Ubuntu 服务器。
谢谢
答案1
假设它是 Web 服务器,并且连接在端口 80/443 上,请检查您的 Apache/Web 服务器日志以查看用户代理是什么。您可能会发现它是一个搜索引擎机器人。多年来,爬虫机器人(恶意、真实和边缘)的数量大幅增加,可能会导致您看到的确切行为。
我猜你从http://www.cyberciti.biz/tips/netstat-command-tutorial-examples.html,但如果不是,它包含一些有趣的命令。
一旦你认为你已经确定了有问题的 IP,那么下一步就是检查流量。你可以使用 tcpdump 来执行此操作
tcpdump -i eth0 host 192.168.1.3 and port 80 -n -s 0 -vvv -w ~/tcpdump.cap
然后使用以下方式打开 tcpdumpWireshark并轻松复习