一招看穿！用netstat揪出DDoS攻击(图文)

服务器变慢，DDoS 攻击来袭？

最近，不少小伙伴在运维服务器的时候，突然发现服务器运行变得异常缓慢，网站加载要等好久，业务操作也一直卡顿。这时候，大家心里肯定 “咯噔” 一下，开始各种排查原因。是服务器硬件出问题了？还是网络带宽不够用了？又或者是被黑客盯上，遭遇了 DDoS 攻击呢？
DDoS 攻击，全称 Distributed Denial of Service，也就是分布式拒绝服务攻击，它就像一场恶意的流量风暴，攻击者通过控制大量的傀儡机（也叫 “肉鸡”），向目标服务器发送海量的请求，让服务器的资源被这些恶意请求耗尽 ，无法再为正常用户提供服务。一旦服务器遭受 DDoS 攻击，那危害可不小。对于电商网站来说，可能会导致交易中断，大量订单流失，销售额大幅下降；游戏服务器被攻击，玩家频繁掉线、卡顿，游戏体验极差，进而造成玩家大量流失；企业官网遭受攻击，无法正常访问，会严重损害企业的形象和声誉 。可以说，DDoS 攻击就像悬在服务器头上的一把 “达摩克利斯之剑”，随时可能给我们带来巨大的损失。那怎么才能知道服务器是不是真的遭受了 DDoS 攻击呢？这时候，netstat 命令就可以派上大用场了。

什么是 DDoS 攻击

DDoS 攻击，全称 Distributed Denial of Service，也就是分布式拒绝服务攻击 。简单来说，就是攻击者控制大量的计算机设备，这些设备就像被操控的 “傀儡”，也叫 “肉鸡” 。攻击者指挥这些 “肉鸡” 同时向目标服务器发送海量的请求，就像无数人同时涌入一家小店，把店里的空间和资源都占满了，导致正常的顾客无法进店消费。目标服务器的网络带宽、计算资源（比如 CPU 和内存等）会被这些海量请求迅速耗尽 ，无法再为合法用户提供正常服务，出现网站无法访问、服务中断或者系统性能严重下降等情况。
像电商网站在促销活动期间，本身就有大量用户访问，一旦遭受 DDoS 攻击，服务器不堪重负，用户可能连商品页面都打不开，更别说下单购买了，商家的损失可想而知。游戏服务器要是被攻击，玩家频繁掉线、卡顿，再好的游戏也留不住玩家 。还有金融类网站，关系到用户的资金交易安全，遭受攻击时不仅会造成业务中断，还可能导致用户对平台的信任危机 。总之，DDoS 攻击会给各类依赖网络服务的平台带来巨大的负面影响，严重的甚至会让平台陷入瘫痪，无法正常运营。

netstat 命令登场

netstat，全称 “network statistics”，是一个非常实用的网络命令 ，在 Windows、Linux 等多种操作系统中都能使用 。它就像是一个网络信息探测器，主要功能是显示网络连接、路由表、接口统计等信息 。通过 netstat 命令，我们可以查看当前系统中所有活动的网络连接，包括 TCP 和 UDP 连接 ，了解每个连接的状态，比如是处于监听状态（等待接入请求）、已建立连接状态，还是其他状态 。还能查看网络接口的数据包发送和接收情况，以及路由表，明确数据包在网络中的传输路径 。
在检测 DDoS 攻击方面，netstat 命令有着独特的优势 。因为 DDoS 攻击的显著特征就是产生大量的异常网络连接和流量 。netstat 命令能够清晰地展示出当前系统的网络连接情况，一旦有 DDoS 攻击发生，我们通过 netstat 命令查看网络连接信息时，就可能发现一些异常现象 。比如，同一 IP 地址出现大量的连接请求，远远超出正常的业务访问量；或者短时间内出现海量的处于特定状态（如 SYN_REC 状态）的连接 ，这些都可能是 DDoS 攻击的迹象 。就好比一个小镇上突然来了大量陌生人，而且都朝着同一个方向聚集，这就很可疑了 。通过 netstat 命令，我们就能及时发现这些网络中的 “异常聚集”，从而快速判断服务器是否正在遭受 DDoS 攻击 。接下来，我们就详细看看如何使用 netstat 命令来检测 DDoS 攻击 。

实战：netstat 命令查看 DDoS 攻击

（一）netstat -na：查看所有活跃连接

在终端中输入 “netstat -na”，这个命令会显示系统中所有活动的网络连接，包括 TCP 和 UDP 连接 。输出信息一般包含协议类型（Proto）、接收队列（Recv-Q）、发送队列（Send-Q）、本地地址（Local Address）、外部地址（Foreign Address）以及连接状态（State）等字段 。
正常情况下，我们看到的连接状态会比较多样，比如 ESTABLISHED（已建立连接），表示正常的业务连接；LISTEN（监听），说明程序正在等待接入请求 。而且各个连接的源 IP 地址和目的 IP 地址会比较分散，不会出现大量来自同一 IP 的连接 。比如一个正常运行的 Web 服务器，可能会有来自不同地区用户的少量 ESTABLISHED 连接，同时服务器自身处于 LISTEN 状态，等待更多合法用户的请求 。
但如果遭受 DDoS 攻击，就可能出现异常情况 。例如，会有大量来自同一 IP 地址的连接请求，而且连接状态可能集中在 SYN_SENT（主动发起连接，等待对方确认）或者 SYN_REC（收到连接请求，等待确认）等状态 。曾经有个电商网站在促销前夕遭受攻击，运维人员通过 “netstat -na” 命令查看时，发现短时间内出现了数千个来自同一 IP 段的 SYN_SENT 连接，这就是典型的 DDoS 攻击迹象 。

（二）netstat -an | grep :80 | sort：监控 80 端口连接

80 端口对于 Web 服务器来说至关重要，它是 HTTP 协议的默认端口，主要负责处理网页浏览请求 。我们使用 “netstat -an | grep :80 | sort” 这个命令，它会筛选出所有与 80 端口相关的网络连接，并对结果进行排序 。通过这个命令，我们可以清晰地看到哪些 IP 地址在连接服务器的 80 端口 。
假设一个正常运营的企业官网，使用该命令后，会看到不同用户 IP 地址的连接，而且每个 IP 的连接数相对较少，可能只有几个到十几个不等 ，这是正常的用户访问情况 。但如果出现单点流量攻击，就会有明显不同 。有一家小型在线教育平台，突然发现网站加载缓慢 。运维人员使用此命令查看 80 端口连接时，发现一个 IP 地址在短时间内发起了数千个连接 ，远远超出正常范围 ，这就可以判定是单点流量攻击 。攻击者通过控制这个 IP，向服务器 80 端口发送大量请求，占用服务器资源，导致正常用户无法访问网站 。

（三）netstat -n -p|grep SYN_REC | wc -l：统计 SYN_REC 连接数

在 TCP 三次握手过程中，当服务器收到客户端的 SYN（同步）请求后，会进入 SYN_REC（同步接收）状态，等待客户端的确认 。正常情况下，处于 SYN_REC 状态的连接数是比较少的，通常最好小于 5 。因为正常的业务交互中，连接会快速完成三次握手，不会长时间处于 SYN_REC 状态 。
当服务器遭受 DDoS 攻击时，尤其是 SYN Flood 攻击，攻击者会发送大量的 SYN 请求，但不完成后续的握手步骤 ，导致服务器上处于 SYN_REC 状态的连接数急剧增加 。比如，一个普通的论坛服务器，正常时 SYN_REC 连接数可能只有 1 - 2 个 。但遭受攻击时，这个数值可能会飙升到几百甚至上千 。不过需要注意的是，不同系统和业务场景下，正常的 SYN_REC 连接数标准会有所差异 。一些高并发的服务器，由于业务特性，本身就会有较多的连接请求，其正常的 SYN_REC 连接数可能会相对高一些 。所以在判断时，要结合服务器平时的运行数据和业务特点来综合分析 。

（四）netstat -n -p | grep SYN_REC | sort -u：列出 SYN_REC 连接 IP

这个命令的作用是列出所有处于 SYN_REC 状态的连接的 IP 地址 。在检测 DDoS 攻击时，它能帮助我们进一步定位攻击源 。当服务器遭受攻击，通过前面的命令发现 SYN_REC 连接数异常增加后，使用此命令可以查看这些异常连接来自哪些 IP 。
比如，某游戏服务器突然卡顿，玩家频繁掉线 。运维人员先通过 “netstat -n -p|grep SYN_REC | wc -l” 发现 SYN_REC 连接数从平时的个位数飙升到了几百 。接着使用 “netstat -n -p | grep SYN_REC | sort -u”，得到了一长串 IP 地址列表 ，其中有几个 IP 地址出现的频率非常高 。进一步分析发现，这些高频出现的 IP 就是攻击者控制的 “肉鸡” IP ，通过这些 IP 发起大量虚假的 SYN 请求，导致游戏服务器网络资源耗尽，影响玩家正常游戏 。

（五）netstat -ntu | awk '{print $5}' | cut -d: -f1| sort | uniq -c | sort -n：计算 IP 连接数

这条命令看起来比较复杂，我们来逐步拆解它的执行逻辑 。“netstat -ntu” 用于显示 TCP 和 UDP 的网络连接信息 。“awk '{print $5}'” 会提取每行输出的第 5 个字段，这个字段通常包含了外部地址信息 。“cut -d: -f1” 以冒号为分隔符，提取第一个字段，也就是 IP 地址 。“sort” 对提取出的 IP 地址进行排序 ，“uniq -c” 统计每个 IP 地址出现的次数 ，最后 “sort -n” 按照统计的次数从小到大排序 。
通过这个命令的输出结果，我们可以直观地看到每个 IP 地址与服务器的连接数量 。正常情况下，每个 IP 的连接数会在一个合理范围内 。以一个视频网站为例，大部分用户 IP 的连接数可能在 1 - 10 之间 ，这是用户正常观看视频时建立的连接数量 。但如果有 IP 的连接数远远超出这个范围，比如达到几百甚至上千 ，那就很可能是异常的 ，可能是遭受了 DDoS 攻击 。曾经有个小型视频分享平台，被攻击者利用大量 “肉鸡” IP，每个 IP 都建立了数百个连接，导致服务器带宽被占满，正常用户无法流畅观看视频 ，通过此命令就清晰地发现了这些异常 IP 和它们的连接数 。

（六）其他常用命令组合

除了上述命令，还有一些 netstat 命令组合也常用于检测 DDoS 攻击 。比如 “netstat -anp |grep 'tcp|udp' | awk '{print \(5}' | cut -d: -f1 | sort | uniq -c | sort -n”，它可以列出所有连接到本机的UDP或者TCP连接的IP数量 ，帮助我们全面了解网络连接情况 ，从不同角度发现异常连接 。“netstat -ntu | grep ESTAB | awk '{print \)5}' | cut -d: -f1 | sort | uniq -c | sort -nr” 用于检查 ESTABLISHED（已建立连接）状态的连接 ，并列出每个 IP 地址的连接数量 。在正常业务中，已建立连接的 IP 分布和连接数也有一定规律 ，通过这个命令可以查看是否有 IP 异常建立大量已连接状态的连接，从而判断是否遭受攻击 。这些命令组合相互配合，能更全面、准确地检测服务器是否遭受 DDoS 攻击 。

应对 DDoS 攻击的措施

（一）临时应对：iptables 封禁攻击 IP

一旦通过 netstat 命令确认了攻击 IP，我们可以使用 iptables 来临时封禁这些 IP，阻止它们继续向服务器发起连接请求 。在 Linux 系统中，执行 “iptables -A INPUT -s [攻击 IP 地址] -j DROP” 命令 ，这个命令会在 INPUT 链中添加一条规则，拒绝来自指定攻击 IP 地址的所有连接 。比如，如果攻击 IP 是 192.168.1.100，就执行 “iptables -A INPUT -s 192.168.1.100 -j DROP” 。需要注意的是，在实际操作中，要将 “[攻击 IP 地址]” 替换为真实的攻击 IP 。执行完该命令后，iptables 会立即生效，来自该 IP 的连接请求将被直接丢弃 ，从而在一定程度上减轻服务器的压力 。但这只是临时的应对措施，只能解决当前已知攻击 IP 的问题 ，对于不断变化的 DDoS 攻击，还需要采取更全面的长期防护措施 。

（二）长期防护建议

1. 启用防火墙规则：防火墙就像是服务器的 “安全卫士”，我们要充分利用它的防护能力 。除了前面提到的使用 iptables 封禁攻击 IP，还可以设置更细致的防火墙规则 。比如，限制特定端口的连接速率，防止攻击者短时间内发起大量连接请求 。以 SSH（22 端口）为例，可以使用 “iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource” 和 “iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SSH --rsource -j DROP” 这两条规则 。第一条规则用于记录新连接的 IP，第二条规则表示如果同一个 IP 在 60 秒内对 22 端口发起超过 5 次连接请求，就将其连接丢弃 ，有效防止针对 SSH 端口的暴力破解和 DDoS 攻击 。同时，定期更新防火墙规则，根据服务器的业务需求和安全状况进行调整，确保防火墙始终能发挥最佳防护效果 。

2. 使用专业 DDoS 防护服务：随着 DDoS 攻击手段越来越复杂，攻击规模也越来越大，使用专业的 DDoS 防护服务是一个非常有效的长期防护策略 。现在很多云服务提供商都提供了 DDoS 防护服务，比如腾讯云的 DDoS 高防 IP、阿里云的 DDoS 高防服务等 。这些专业服务拥有充足的防护资源和先进的清洗算法 。它们可以实时监控网络流量，一旦检测到 DDoS 攻击，能迅速将攻击流量引流到专门的清洗设备上 ，在不影响正常业务的前提下，对攻击流量进行清洗和过滤 ，确保只有合法流量到达服务器 。而且这些服务还能根据攻击的类型和规模自动调整防护策略，应对各种复杂的 DDoS 攻击场景 ，为服务器提供全方位的安全保障 。

3. 优化服务器配置：一个性能良好、配置优化的服务器在面对 DDoS 攻击时，也能具备更强的抵抗能力 。首先，确保服务器有足够的带宽资源 。带宽就像高速公路的车道，带宽不足时，一旦遭受 DDoS 攻击，大量的恶意流量就会使服务器的 “网络交通” 陷入瘫痪 。所以要根据业务的实际需求和预估的流量峰值，合理增加带宽 ，保证正常业务流量有足够的传输空间 。其次，合理配置服务器的内存和 CPU 。当 DDoS 攻击发生时，服务器需要处理大量的请求，如果内存和 CPU 资源不足，服务器就会因为不堪重负而无法正常工作 。可以通过升级硬件配置，或者优化服务器的内核参数，提高服务器对资源的利用效率 ，让服务器在面对攻击时能更稳定地运行 。还可以采用负载均衡技术，将流量均匀分配到多个服务器节点上 ，避免单个服务器因承受过多流量而被攻击瘫痪 ，从而提升整个服务器集群的抗 DDoS 攻击能力 。

总结与互动

通过 netstat 命令，我们能够及时发现服务器是否遭受 DDoS 攻击，还能对攻击进行初步的分析和应对 。它就像服务器安全的 “侦察兵”，帮助我们在第一时间察觉异常 。在实际的运维过程中，大家要熟练掌握这些命令，多观察服务器的网络连接情况，及时发现潜在的攻击风险 。同时，也要不断学习新的 DDoS 防护知识，因为攻击者的手段也在不断更新 。希望大家都能守护好自己的服务器，让业务平稳运行 。如果你在使用 netstat 命令检测 DDoS 攻击时有什么有趣的经历，或者遇到了什么问题，欢迎在评论区留言分享 ，咱们一起交流探讨 ，共同提升服务器的安全防护能力 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。