- 浏览: 688815 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
qgm168:
...
Ruby中HmacMD5加密 -
lucky_god:
感谢楼主,写的很详细!
Redhat安装gem包报错“no such file to load — zlib”以及ruby的openssl扩展等错误的修正 -
liaozhaijk:
$("某一个dom").change() ...
jquery绑定input 文本域(text),检测值的变化 -
avalonzst:
...
Mysql启动失败Can’t connect to local MySQL server through socket ‘/var/lib/mysql/mysq -
zdz8207:
非常感谢,我的也是磁盘满了导致的问题,顺便分享下查看磁盘的命令 ...
Mysql启动失败Can’t connect to local MySQL server through socket ‘/var/lib/mysql/mysq
Linux判断CC攻击命令详解
2011年12月23日 ⁄ 安全 ⁄ 暂无评论
查看所有80端口的连接数
================================
防范DDOS攻击脚本
#防止SYN攻击 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
##########################################################
防范CC攻击
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7
2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
3. 配置相应的iptables规则
示例如下:
(1)控制单个IP的最大并发连接数
#默认iptables模块不包含connlimit,需要自己单独编译加载,请参考该地址
http://sookk8.blog.51cto.com/455855/280372 不编译内核加载connlimit模块
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
#单个IP在60秒内只允许最多新建30个连接
4. 验证
(1)工具:flood_connect.c(用来模拟攻击)
(2)查看效果:
使用
实时查看模拟攻击客户机建立起来的连接数,
使用
查看模拟攻击客户机被 DROP 的数据包数。
5.注意
为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:
#记录1000个IP地址,每个地址记录60个数据包 #modprobe ipt_recent
===========================
Nginx 版本信息:
nginx version: nginx/0.8.53
Nginx日志配置项:
Nginx日志格式:
通过日志查看当天访问页面排前10的url:
通过日志查看当天ip连接数,统计ip地址的总连接数
通过日志查看当天访问次数最多的10个IP ,只需要在上一个命令后加上head命令
通过日志查看当天访问次数最多的10个IP
通过日志查看当天指定ip访问次数过的url和访问次数:
通过日志查看当天访问次数最多的时间段
rails日志查询ip访问的排行榜
-----------------
持续的监视某块网卡的数据流量
其中 eht0 对应你想要监视的网卡 bytes 对应中文版系统的“字节”
1 代表 1秒钟刷新一次
------------------
# sar -n DEV -u 1 10
看看当前网络流量
# iostat -t 1 10
看看当前硬盘读写速度
----------------------
查看文件大小
du -h --max-depth=1 /路径
2011年12月23日 ⁄ 安全 ⁄ 暂无评论
查看所有80端口的连接数
netstat -nat|grep -i '80'|wc -l 对连接的IP按连接数量进行排序 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 查看TCP连接状态 netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}' netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}' netstat -n | awk '/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"\t",arr[k]}' netstat -n |awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c 查看80端口连接数最多的20个IP netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A,i}' |sort -rn|head -n20 用tcpdump嗅探80端口的访问看看谁最高 tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1″."$2″."$3″."$4}' | sort | uniq -c | sort -nr |head -20 查找较多time_wait连接 netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20 查找较多的SYN连接 netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more
================================
防范DDOS攻击脚本
#防止SYN攻击 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
##########################################################
防范CC攻击
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7
2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
3. 配置相应的iptables规则
示例如下:
(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT#允许单个IP的最大连接数为 30
#默认iptables模块不包含connlimit,需要自己单独编译加载,请参考该地址
http://sookk8.blog.51cto.com/455855/280372 不编译内核加载connlimit模块
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接
4. 验证
(1)工具:flood_connect.c(用来模拟攻击)
(2)查看效果:
使用
watch 'netstat -an | grep:21 | grep<模拟攻击客户机的IP>| wc -l'
实时查看模拟攻击客户机建立起来的连接数,
使用
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
查看模拟攻击客户机被 DROP 的数据包数。
5.注意
为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:
#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#记录1000个IP地址,每个地址记录60个数据包 #modprobe ipt_recent
===========================
Nginx 版本信息:
nginx version: nginx/0.8.53
Nginx日志配置项:
access_log /data0/logs/access.log combined;
Nginx日志格式:
$remote_addr – $remote_user [$time_local] $request $status $apache_bytes_sent $http_referer $http_user_agent 127.0.0.1 - - [24/Mar/2011:12:45:07 +0800] "GET /fcgi_bin/xxx.fcgi?id=xxx HTTP/1.0" 200 160 "-" "Mozilla/4.0"
通过日志查看当天访问页面排前10的url:
#>cat access.log | grep "24/Mar/2011" | awk '{print $7}' | sort | uniq -c | sort -nr | head -n 10
通过日志查看当天ip连接数,统计ip地址的总连接数
#>cat access.log | grep "24/Mar/2011" | awk '{print $1}' | sort | uniq -c | sort –nr 38 112.97.192.16 20 117.136.31.145 19 112.97.192.31 3 61.156.31.20 2 209.213.40.6 1 222.76.85.28
通过日志查看当天访问次数最多的10个IP ,只需要在上一个命令后加上head命令
#>cat access.log | grep "24/Mar/2011" |awk '{print $3}'|sort |uniq -c|sort -nr|head –n 10 38 112.97.192.16 20 117.136.31.145 19 112.97.192.31 3 61.156.31.20 2 209.213.40.6 1 222.76.85.28
通过日志查看当天访问次数最多的10个IP
#>awk '{print $1}' access.log |sort |uniq -c|sort -nr|head 10680 10.0.21.17 1702 10.0.20.167 823 10.0.20.51 504 10.0.20.255 215 58.60.188.61 192 183.17.161.216 38 112.97.192.16 20 117.136.31.145 19 112.97.192.31 6 113.106.88.10
通过日志查看当天指定ip访问次数过的url和访问次数:
#>cat access.log | grep "10.0.21.17" | awk '{print $7}' | sort | uniq -c cat access.log | grep "10.0.21.17" | awk '{print $7}' | uniq -c | sort -nr | head -n 20 224 /test/themes/default/img/logo_index.gif 224 /test/themes/default/img/bg_index_head.jpg 224 /test/themes/default/img/bg_index.gif 219 /test/vc.php 219 / 213 /misc/js/global.js 211 /misc/jsext/popup.ext.js 211 /misc/js/common.js 210 /sladmin/home 197 /misc/js/flib.js
通过日志查看当天访问次数最多的时间段
#>awk '{print $4}' access.log | grep "24/Mar/2011" |cut -c 14-18|sort|uniq -c|sort -nr|head 24 16:49 19 16:17 16 16:51 11 16:48 4 16:50 3 16:52 1 20:09 1 20:05 1 20:03 1 19:55
rails日志查询ip访问的排行榜
cat production.log | grep '2010-10-31' | awk '{print $4}'| sort -u | wc
-----------------
持续的监视某块网卡的数据流量
其中 eht0 对应你想要监视的网卡 bytes 对应中文版系统的“字节”
1 代表 1秒钟刷新一次
watch -n 1 "/sbin/ifconfig eth0 | grep bytes"
------------------
# sar -n DEV -u 1 10
看看当前网络流量
# iostat -t 1 10
看看当前硬盘读写速度
----------------------
查看文件大小
du -h --max-depth=1 /路径
发表评论
-
反向代理的nginx日志设置显示源ip
2018-12-03 14:35 2265外层代理A设置为 location /*** { ... -
ubuntu下中文文件乱码
2015-12-01 13:36 1386从windows上传上去的文件名如果是中文会有乱码的情况出现, ... -
Redhat远程sftp连接失败
2015-11-23 09:40 2760服务器设置ssh之后,远程sftp连接失败 引用 Connec ... -
Ubuntu下rails程序链接oracle数据库
2015-09-17 15:32 2457rails支持oracle数据库连接 一、下载安装(解压)依 ... -
ubuntu设置为unity 2D
2015-01-29 17:06 1069vbox安装完ubuntu之后,unity 3d支持不好 编 ... -
ubuntu中ruby使用文字生成图片以及汉字不显示(或者乱码)的问题
2014-12-23 10:29 2269ruby中使用IMGKit这个gem可以完成文字以及html生 ... -
alias在bashrc中设置后无效的问题
2014-09-02 09:32 2148在用户目录的.bashrc中添加一一堆alias命令,但是每次 ... -
linux系统性能监控
2014-06-03 16:18 983linux服务器在运转过程中,总要监控一些性能方面的东西,比如 ... -
Ubuntu的crontab日志
2013-10-12 12:36 1203Ubuntu的crontab日志是关闭的 打开crontab日 ... -
vim安装airline插件
2013-09-02 17:58 7829https://github.com/bling/vim-ai ... -
vim安装FuzzyFinder 插件
2013-09-02 14:29 2350FuzzyFinder 是一个非常强大的Vim插件 安装Fuz ... -
vim安装command-t插件
2013-09-02 13:05 4710commnad-t是一个很好的vim插件 安装的步骤似乎很简 ... -
使用Linux的logrotate拆分rails、nginx的log日志
2013-08-30 10:43 1950使用Linux的logrotate拆分rails、nginx的 ... -
libiconv.so.2 cannot open shared object file: No such file or directory
2013-08-02 17:04 4120libiconv.so.2: cannot open shar ... -
(转)Centos安装Git
2013-03-07 14:37 4230centos安装git 下载源代码安装后,git clo ... -
Curl和Wget访问HTTPS连接出现Unable to establish SSl connection错误
2013-03-07 11:22 34470问题如题: 解决方案: 他们都可以跳过这个验证 wget 使用 ... -
wkhtmltopdf 说明文档
2015-08-17 16:56 3509wkhtmltopdf 0.9.6 Manual This ... -
wkhtmltopdf专成pdf文件之后的页码显示问题
2012-08-29 11:06 3168在页面header或者footer上面添加page(当前页数) ... -
vim使用笔记
2011-10-28 10:54 22741 首先 安装vim 安装vim很简单的命令 sudo ... -
闲的蛋疼之mplayer的编译安装
2011-10-24 23:02 12579虽说安装mplayer都是装过N次的东西,不过都是用现成的de ...
相关推荐
Lattice LFE2-6E-RTL8201CL FPGA双网口控制板PDF原理图+PCB+FPGA源码, ALTIUM工程转的PDF原理图PCB文件+AD集成封装库,已在项目中验证,可以做为你的设计参考。器件封装库列表: Component Count : 30 Component ...
工业电脑量产测试之----DOS 下测试千兆网口测试工具下载
一些简单的Linux网络配置命令 1、ifconfig是查看网卡的信息 2、 route命令来配置并查看内核路由表的配置情况 3、 traceroute命令显示数据包到达目的主机所经过的路由 ......
1. 添加隔离标记符: ip netns add fd 2. 将指定网卡放入隔离中: ip link set eth1 netns fd 3. 在隔离环境下执行命令: ip netns exec fd ifconfig eth1 down ip netns exec fd ifconfig ...知识点扩展:Linux查看i
可支持所有爱普生网口打印机,查看IP地址,修改地址、
程序员开发项目时,监控和检测电脑基本端口(网口,USB,串口)数据通讯的基本工具,方便调试和开发
RJ-45_8x8(8口) RJ-45_GBE RJ-45_LED带灯网口插件封装库(AD PCB封装库)
网口修改IP地址手册,网口修改IP地址手册,网口修改IP地址手册
C507595_网口变压器_G2406S_规格书_CND-TEK(磁联达)网口变压器规格书.PDF
C510548_网口变压器_B1601S_规格书_CND-TEK(磁联达)网口变压器规格书.PDF
目前Linux内核bonding技术已经实现了将多个物理网口聚合为一个单一虚拟网口的方法。但这种不对称的技术在实现接收数据负载均衡时,只是通过ARP协商机制实现静态分配多网口,因此在实际应用中存在性能上的缺陷。鉴于...
在linux系统中一块网卡上配置多个ip
80网口打印机修改IP工具
WT32-S1+HR911105A网口 +LAN8720A网络模块ALTIUM设计硬件原理图+PCB文件,,硬件采用2层板设计,大小为30x85mm,Altium Designer 设计的工程文件,包括完整的原理图及PCB文件,可以用Altium(AD)软件打开或修改,可...
组播在双网卡或者多网卡下,系统会根据路由表自动选择网卡发送命令,但是会导致一些网卡发送数据异常,这时候就需要绑定ip来解决这个问题了。 组播报文在网络传播的时候是需要设置TTL的(除非网口都是2层交换机),...
在linux下,如何进行串口收发和网口收发,是学习linux应用程序编写的入门程序
千兆网口Freescale-ETSEC-+-Marvell-88E1111-uboot-Linux-驱动分析,详细分析了uboot下网络流程并且对相关的函数进行讲解,让读者不仅了解网络处理流程而且还更深刻了对每个函数的含义有了了解,对网络工作更加深刻
组播在双网卡或者多网卡下,系统会根据路由表自动选择网卡发送命令,但是会导致一些网卡发送数据异常,这时候就需要绑定ip来解决这个问题了。 C#下通过SetSocketOption函数来绑定组播使用的网口IP,如果不绑定的话,...
gd32f450-ucosii-enet-lan8700网口调试Demo.rar
FPGA通过ROM IP加载COE文件的方式将某图片的1/12存错到片上RAM中,控制1s发送30张图片到千兆网口,一张图片的为12次的ROM数据。相关内容请查看“FPGA1—ROM存储经千兆以太网口到Qt上位机显示”