当网站受到攻击的时候我们第一个想到的答案就是查看web的log..或者用netstat -an查看网络连接,判断攻击类型,然后用iptables进行封锁ip。这种方案看起来很管用,但是有时候服务器受到肉鸡的CC攻击的时候根本从log中看不到什么有用的信息。而这个时候就需要用抓包来分析ip的来源了,linux下的抓包工具我就不例举了,这里我只说说tcpdump
简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
具体用法。
1.tcpdump -D
查看tcpdump可以监听的网卡接口
2.tcpdump -i any tcp
查看tcpdump监听到的包信息,默认是转化为域名,主机
3.tcpdump -i any tcp -n
用IP来显示,不用主机,域名访问记录
4.tcpdump -i -n any tcp port 80
制定端口监听包。
6.实例:
用tcpdump来收集ip的访问量
cat mm|perl -lne ' print $1 if ( /((\d{1,3}\.){3}\d{1,3})/ ) ' |grep -v '74.55.176.178' |sort -rn |uniq -c|sort -rn
过滤掉自身的服务器地址,然后寻找攻击者的IP
然后DROP掉
本文转自 mcshell 51CTO博客,原文链接:http://blog.51cto.com/mcshell/392243,如需转载请自行联系原作者
