linux下防DDOS攻击软件及使用方法有哪些?
一些常用的防DDOS攻击的方法,罗列如下:
1.增加硬件防火墙和增加硬件设备来承载和抵御DDOS攻击,最基本的方法,但成本比较高。
2.修改SYN设置抵御SYN攻击: SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。 Linux内核提供了若干SYN相关设置,使用命令: sysctl -a | grep syn
3.安装iptables对特定ip进行屏蔽。 A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimit B. 配置相应的iptables规则
4.安装DDoS deflate自动抵御DDOS攻击: DDoSsdeflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP.
如何查看linux并发连接数?
1、查看Web服务器(Nginx Apache)的并发请求数及其TCP连接状态:
netstat -n | awk ‘/^tcp/ {++S} END {for(a in S) print a, S}’
netstat -n|grep ^tcp|awk ‘{print $NF}’|sort -nr|uniq -c
或者:
netstat -n | awk ‘/^tcp/ {++state} END {for(key in state) print key,”t”,state}’
返回结果一般如下:
LAST_ACK 5 (正在等待处理的请求数)
SYN_RECV 30
ESTABLISHED 1597 (正常数据传输状态)
FIN_WAIT1 51
FIN_WAIT2 504
TIME_WAIT 1057 (处理完毕,等待超时结束的请求数)
其他参数说明:
CLOSED:无连接是活动的或正在进行
LISTEN:服务器在等待进入呼叫
SYN_RECV:一个连接请求已经到达,等待确认
SYN_SENT:应用已经开始,打开一个连接
ESTABLISHED:正常数据传输状态
FIN_WAIT1:应用说它已经完成
FIN_WAIT2:另一边已同意释放
ITMED_WAIT:等待所有分组死掉
CLOSING:两边同时尝试关闭
TIME_WAIT:另一边已初始化一个释放
LAST_ACK:等待所有分组死掉
2、查看Nginx运行进程数
ps -ef | grep nginx | wc -l
返回的数字就是nginx的运行进程数,如果是apache则执行
ps -ef | grep httpd | wc -l
3、查看Web服务器进程连接数:
netstat -antp | grep 80 | grep ESTABLISHED -c
Linux怎么使用ss命令查看系统的socket状态?
ss是SocketStatistics的缩写。顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效。当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat/proc/net/tcp,执行速度都会很慢。可能你不会有切身的感受,但请相信我,当服务器维持的连接达到上万个的时候,使用netstat等于浪费生命,而用ss才是节省时间。天下武功唯快不破。ss快的秘诀在于,它利用到了TCP协议栈中tcp_diag。tcp_diag是一个用于分析统计的模块,可以获得Linux内核中第一手的信息,这就确保了ss的快捷高效。当然,如果你的系统中没有tcp_diag,ss也可以正常运行,只是效率会变得稍慢。(但仍然比netstat要快。) 1.命令格式: ss[参数] ss[参数][过滤] ??2.命令功能: ss(SocketStatistics的缩写)命令可以用来获取socket统计信息,此命令输出的结果类似于netstat输出的内容,但它能显示更多更详细的TCP连接状态的信息,且比netstat更快速高效。它使用了TCP协议栈中tcp_diag(是一个用于分析统计的模块),能直接从获得第一手内核信息,这就使得ss命令快捷高效。在没有tcp_diag,ss也可以正常运行。 ? 3.命令参数: -h,–help帮助信息 -V,–version程序版本信息 -n,–numeric不解析服务名称 -r,–resolve解析主机名 -a,–all显示所有套接字(sockets) -l,–listening显示监听状态的套接字(sockets) -o,–options显示计时器信息 -e,–extended显示详细的套接字(sockets)信息 -m,–memory显示套接字(socket)的内存使用情况 -p,–processes显示使用套接字(socket)的进程 -i,–info显示TCP内部信息 -s,–summary显示套接字(socket)使用概况 -4,–ipv4仅显示IPv4的套接字(sockets) -6,–ipv6仅显示IPv6的套接字(sockets) -0,–packet显示PACKET套接字(socket) -t,–tcp仅显示TCP套接字(sockets) -u,–udp仅显示UCP套接字(sockets) -d,–dccp仅显示DCCP套接字(sockets) -w,–raw仅显示RAW套接字(sockets) -x,–unix仅显示Unix套接字(sockets) -f,–family=FAMILY显示FAMILY类型的套接字(sockets),FAMILY可选,支持unix,inet,inet6,link,netlink -A,–query=QUERY,–socket=QUERY QUERY:={all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY] -D,–diag=FILE将原始TCP套接字(sockets)信息转储到文件 -F,–filter=FILE从文件中都去过滤器信息 FILTER:=[stateTCP-STATE][EXPRESSION] 4.使用实例: 实例1:显示TCP连接 命令:ss-t-a 输出: 代码如下: [root@localhost~]#ss-t-a StateRecv-QSend-QLocalAddress:PortPeerAddress:Port LISTEN00127.0.0.1:smux*:* LISTEN00*:3690*:* LISTEN00*:ssh*:* ESTAB00192.168.120.204:ssh10.2.0.68:49368 [root@localhost~]# 实例2:显示Sockets摘要 命令:ss-s 输出:? 代码如下: [root@localhost~]#ss-s Total:34(kernel48) TCP:4(estab1,closed0,orphaned0,synrecv0,timewait0/0),ports3《/p》《p》TransportTotalIPIPv6 *48– RAW000 UDP550 TCP440 INET990 FRAG000 [root@localhost~]# 说明:列出当前的established,closed,orphanedandwaitingTCPsockets 实例3:列出所有打开的网络连接端口 命令:ss-l 输出: 代码如下: [root@localhost~]#ss-l Recv-QSend-QLocalAddress:PortPeerAddress:Port 00127.0.0.1:smux*:* 00*:3690*:* 00*:ssh*:* [root@localhost~]# 实例4:查看进程使用的socket 命令:ss-pl 输出: 代码如下: [root@localhost~]#ss-pl Recv-QSend-QLocalAddress:PortPeerAddress:Port 00127.0.0.1:smux*:*users:((“snmpd”,2716,8)) 00*:3690*:*users:((“svnserve”,3590,3)) 00*:ssh*:*users:((“sshd”,2735,3)) [root@localhost~]# 实例5:找出打开套接字/端口应用程序 命令:ss-lp|grep3306 输出: 代码如下: [root@localhost~]#ss-lp|grep1935 00*:1935*:*users:((“fmsedge”,2913,18)) 00127.0.0.1:19350*:*users:((“fmsedge”,2913,17)) [root@localhost~]#ss-lp|grep3306 00*:3306*:*users:((“mysqld”,2871,10)) [root@localhost~]# 实例6:显示所有UDPSockets 命令:ss-u-a 输出: 代码如下: [root@localhost~]#ss-u-a StateRecv-QSend-QLocalAddress:PortPeerAddress:Port UNCONN00127.0.0.1:syslog*:* UNCONN00*:snmp*:* ESTAB00192.168.120.203:3964110.58.119.119:domain [root@localhost~]# 实例7:显示所有状态为established的SMTP连接 命令:ss-ostateestablished‘(dport=:smtporsport=:smtp)’ 输出: 代码如下: [root@localhost~]#ss-ostateestablished‘(dport=:smtporsport=:smtp)’ Recv-QSend-QLocalAddress:PortPeerAddress:Port [root@localhost~]# 实例8:显示所有状态为Established的HTTP连接 命令:ss-ostateestablished‘(dport=:httporsport=:http)’ 输出: 代码如下: [root@localhost~]#ss-ostateestablished‘(dport=:httporsport=:http)’ Recv-QSend-QLocalAddress:PortPeerAddress:Port 0075.126.153.214:2164192.168.10.42:http [root@localhost~]#? 实例9:列举出处于FIN-WAIT-1状态的源端口为80或者443,目标网络为193.233.7/24所有tcp套接字 命令:ss-ostatefin-wait-1‘(sport=:httporsport=:https)’dst193.233.7/24 实例10:用TCP状态过滤Sockets: 命令: 代码如下: ss-4stateFILTER-NAME-HERE ss-6stateFILTER-NAME-HERE 输出: 代码如下: [root@localhost~]#ss-4stateclosing Recv-QSend-QLocalAddress:PortPeerAddress:Port 11109475.126.153.214:http192.168.10.42:4669 说明: FILTER-NAME-HERE可以代表以下任何一个: 代码如下: established syn-sent syn-recv fin-wait-1 fin-wait-2 time-wait closed close-wait last-ack listen closing all:所有以上状态 connected:除了listenandclosed的所有状态 synchronized:所有已连接的状态除了syn-sent bucket:显示状态为maintainedasminisockets,如:time-wait和syn-recv. big:和bucket相反。 实例11:匹配远程地址和端口号 命令: 代码如下: ssdstADDRESS_PATTERN ssdst192.168.1.5 ssdst192.168.119.113:http ssdst192.168.119.113:smtp ssdst192.168.119.113:443 输出: 代码如下: [root@localhost~]#ssdst192.168.119.113 StateRecv-QSend-QLocalAddress:PortPeerAddress:Port ESTAB00192.168.119.103:16014192.168.119.113:20229 ESTAB00192.168.119.103:16014192.168.119.113:61056 ESTAB00192.168.119.103:16014192.168.119.113:61623 ESTAB00192.168.119.103:16014192.168.119.113:60924 ESTAB00192.168.119.103:16050192.168.119.113:43701 ESTAB00192.168.119.103:16073192.168.119.113:32930 ESTAB00192.168.119.103:16073192.168.119.113:49318 ESTAB00192.168.119.103:16014192.168.119.113:3844 [root@localhost~]#ssdst192.168.119.113:http StateRecv-QSend-QLocalAddress:PortPeerAddress:Port [root@localhost~]#ssdst192.168.119.113:3844 StateRecv-QSend-QLocalAddress:PortPeerAddress:Port ESTAB00192.168.119.103:16014192.168.119.113:3844 [root@localhost~]# 实例12:匹配本地地址和端口号 命令: 代码如下: sssrcADDRESS_PATTERN sssrc192.168.119.103 sssrc192.168.119.103:http sssrc192.168.119.103:80 sssrc192.168.119.103:smtp sssrc192.168.119.103:25 输出: 代码如下: [root@localhost~]#sssrc192.168.119.103:16021 StateRecv-QSend-QLocalAddress:PortPeerAddress:Port ESTAB00192.168.119.103:16021192.168.119.201:63054 ESTAB00192.168.119.103:16021192.168.119.201:62894 ESTAB00192.168.119.103:16021192.168.119.201:63055 ESTAB00192.168.119.103:16021192.168.119.201:2274 ESTAB00192.168.119.103:16021192.168.119.201:44784 ESTAB00192.168.119.103:16021192.168.119.201:7233 ESTAB00192.168.119.103:16021192.168.119.103:58660 ESTAB00192.168.119.103:16021192.168.119.201:44822 ESTAB00192.168.119.103:1602110.2.1.206:56737 ESTAB00192.168.119.103:1602110.2.1.206:57487 ESTAB00192.168.119.103:1602110.2.1.206:56736 ESTAB00192.168.119.103:1602110.2.1.206:64652 ESTAB00192.168.119.103:1602110.2.1.206:56586 ESTAB00192.168.119.103:1602110.2.1.206:64653 ESTAB00192.168.119.103:1602110.2.1.206:56587 [root@localhost~]# 实例13:将本地或者远程端口和一个数比较 命令: 代码如下: ssdportOPPORT sssportOPPORT 输出: 代码如下: [root@localhost~]#sssport=:http [root@localhost~]#ssdport=:http [root@localhost~]#ssdport》:1024 [root@localhost~]#sssport》:1024 [root@localhost~]#sssport《:32000 [root@localhost~]#sssporteq:22 [root@localhost~]#ssdport!=:22 [root@localhost~]#ssstateconnectedsport=:http [root@localhost~]#ss(sport=:httporsport=:https) [root@localhost~]#ss-ostatefin-wait-1(sport=:httporsport=:https)dst192.168.1/24 说明: ssdportOPPORT远程端口和一个数比较;sssportOPPORT本地端口和一个数比较。 OP可以代表以下任意一个: 《=orle:小于或等于端口号 》=orge:大于或等于端口号 ==oreq:等于端口号 !=orne:不等于端口号 《orgt:小于端口号 》orlt:大于端口号 实例14:ss和netstat效率对比 命令: 代码如下: timenetstat-at timess 输出: 代码如下: [root@localhost~]#timess real0m0.739s user0m0.019s sys0m0.013s [root@localhost~]# [root@localhost~]#timenetstat-at real2m45.907s user0m0.063s sys0m0.067s [root@localhost~]# 说明: 用time命令分别获取通过netstat和ss命令获取程序和概要占用资源所使用的时间。在服务器连接数比较多的时候,netstat的效率完全没法和ss比。
支付宝扫一扫
微信扫一扫
.png)
