1.DOS攻擊原理

拒絕服務攻擊（DoS攻擊）或分散式拒絕服務攻擊（DDoS攻擊）是企圖使其預期使用者無法使用計算機或網路資源。此攻擊通常針對託管在高階Web伺服器上的站點或服務，例如銀行，信用卡支付閘道器甚至根名稱伺服器。DoS攻擊是透過強制目標計算機重置或消耗其資源以使其無法再提供其服務或阻礙使用者與受害者之間的通訊媒體以使其無法再充分通訊來實現的。

2.Netstat命令識別洪水攻擊過程

我接下來演示提有關如何使用netstat命令識別DDOS攻擊的概述。

#netstat -na

顯示與伺服器的所有活動Internet連線，並且僅包括已建立的連線。

#netstat -an | grep：80 | 分類

在埠80上僅顯示與伺服器的活動Internet連線並對結果進行排序。透過允許您識別來自一個IP的許多連線，可用於檢測單個洪水。

#netstat -n -p | grep SYN_REC | wc -l

瞭解伺服器上正在發生的SYNC_REC數量。這個數字應該相當低，最好少於5個。在DoS攻擊事件或郵件炸彈中，這個數字可以跳得很高。但是，該值始終取決於系統，因此較高的值可能是另一臺伺服器上的平均值。

#netstat -n -p | grep SYN_REC | 排序-u

列出所涉及的所有IP地址。

#netstat -n -p | grep SYN_REC | awk"{print $ 5}"| awk -F："{print $ 1}"

列出傳送SYN_REC連線狀態的節點的所有唯一IP地址。

#netstat -ntu | awk"{print $ 5}"| cut -d：-f1 | 排序| uniq -c | 排序-n

使用netstat命令計算和計算每個IP地址對伺服器的連線數。

#netstat -anp | grep"tcp \ | udp"| awk"{print $ 5}"| cut -d：-f1 | 排序| uniq -c | 排序-n

列出使用TCP或UDP協議將IP連線到伺服器的連線數。

#netstat -ntu | grep ESTAB | awk"{print $ 5}"| cut -d：-f1 | 排序| uniq -c | sort -nr

檢查ESTABLISHED連線而不是所有連線，並顯示每個IP的連線數。

#netstat -plan | grep：80 | awk {"print $ 5"} | cut -d：-f 1 | sort | uniq -c | sort -nk 1

顯示連線到伺服器上埠80的IP地址及其連線數。埠80主要由HTTP協議使用。