黑客就在你身边？用netstat揪出DDoS攻击！(图文)

你的服务器被攻击了吗？

在网络世界中，服务器遭受攻击的案例屡见不鲜。曾经，某知名游戏平台在举办大型活动期间，突然遭遇 DDoS 攻击。大量的恶意请求如潮水般涌来，瞬间占用了服务器的所有带宽资源，导致玩家无法登录游戏，游戏内的交易、聊天等功能也全面瘫痪。据统计，此次攻击持续了数小时，平台损失了数百万的潜在收益，品牌形象也受到了极大的损害。又如，一家在线教育平台在课程直播高峰期，遭受 DDoS 攻击，学生无法进入直播间听课，教师的教学计划被打乱，对平台的声誉造成了负面影响，许多用户因此流失。
DDoS 攻击，即分布式拒绝服务攻击，是一种极具破坏力的网络攻击手段。攻击者通过控制大量的僵尸主机，向目标服务器发送海量的请求，使得服务器资源耗尽，无法正常响应合法用户的请求。这种攻击就像是一场有组织的 “网络暴动”，让服务器在短时间内陷入混乱，无法为用户提供稳定的服务。
面对如此可怕的攻击，我们是否有办法及时察觉呢？答案是肯定的。今天，我就来给大家介绍一个强大的工具 ——netstat 命令。它就像是服务器的 “健康检测仪”，能够帮助我们快速、准确地检测出服务器是否正在遭受 DDoS 攻击，为我们的服务器安全保驾护航。

什么是 DDoS 攻击

DDoS，全称 Distributed Denial of Service，即分布式拒绝服务攻击 ，是一种基于 DoS 的特殊形式的拒绝服务攻击。DoS 攻击，简单来说，就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。而 DDoS 攻击则更为复杂和强大，它不再是单一的一台计算机对目标发起攻击，而是攻击者控制大量被植入恶意程序的计算机（也就是我们常说的 “僵尸主机”），组成僵尸网络，从多个不同的位置同时向目标服务器发送海量的请求 。这些请求可以是正常的网络请求，也可以是精心构造的恶意请求，但无论是哪种，当它们以潮水般的规模涌向目标服务器时，都会导致服务器的网络带宽、CPU、内存等关键资源被迅速耗尽 ，无法再正常处理合法用户的请求，最终使得服务器瘫痪，服务中断，就像一座被人群挤满的大楼，正常的访客无法再进入一样。
DDoS 攻击的类型丰富多样，让人防不胜防。按照攻击的原理和层次来划分，主要可以分为以下几类：

• 流量型攻击：这类攻击就像是一场汹涌的洪水，目标是直接耗尽目标服务器的网络带宽资源。攻击者通过控制僵尸网络，向目标服务器发送大量的无用数据包，如 UDP 洪水攻击和 ICMP 洪水攻击。UDP 洪水攻击利用 UDP 协议无连接的特性，向目标主机的随机端口发送大量 UDP 数据包，使得目标主机忙于处理这些无用的数据包，不断返回错误信息，最终因资源耗尽而无法正常提供服务。而 ICMP 洪水攻击则是攻击者向目标主机发送大量的 ICMP Echo Request（ping）数据包，让目标主机疲于回应这些恶意请求，无暇顾及正常的业务请求，从而导致网络瘫痪 。在 DDoS 攻击的早期，ICMP 洪水攻击非常普遍，许多网络瘫痪事件都与之相关。虽然随着网络防护技术的进步，它的威胁有所降低，但在一些防护薄弱的网络环境中，仍然不容忽视。

• 协议型攻击：这类攻击巧妙地利用网络协议的漏洞或特性，对目标服务器进行攻击，主要攻击目标是服务器的连接资源或者中间设备（如防火墙、负载均衡器）的资源。其中，SYN 洪水攻击是最为经典的一种协议型攻击方式。它利用 TCP 协议三次握手的机制，攻击者向目标主机发送大量的 SYN 请求包，但并不完成完整的 TCP 三次握手步骤。目标主机在接收到 SYN 请求后，会回应 SYN - ACK 包，并等待客户端的 ACK 确认。然而，攻击者并不会发送 ACK 包，导致目标主机必须为每个请求分配一定的资源等待回应 。当大量的半连接请求堆积时，会迅速耗尽目标主机的连接资源，使得正常的连接请求无法被处理 。这种攻击方式对依赖 TCP 连接的服务，如 Web 服务器、邮件服务器等，具有极大的破坏力，就像一个人不断地和你打招呼，但却不回应你的回应，让你应接不暇，无法再去和其他人交流。

• 应用型攻击：应用型攻击更加 “聪明”，它针对的是应用层服务，如 Web 服务器、数据库等。攻击者通过发送看似合法的请求，但这些请求会消耗大量的服务器资源，从而导致服务崩溃。常见的 HTTP GET/POST 洪水攻击，攻击者会发送海量的 GET 或 POST 请求，使服务器忙于处理这些请求而无法响应正常用户的访问 。还有一种 HTTP 慢速攻击，行为更加隐蔽，攻击者以较低的频率发送请求，保持连接但不完成请求，长时间地占用服务器资源，导致服务器并发连接数被耗尽 。就像一群人在餐厅里，只占着座位不点餐，让真正想用餐的顾客无法入座。DNS 放大攻击也是应用型攻击的一种，攻击者通过伪造源 IP 地址为目标主机的查询请求，向 DNS 服务器发送大量的查询请求。DNS 服务器在接收到请求后，会向被伪造的目标 IP 地址发送大量的响应数据包 。这些 DNS 响应数据包的流量远远大于请求数据包，从而实现对目标主机的流量放大攻击，以较小的流量带宽就可以制造出大规模的流量源来攻击目标。

netstat 命令是什么

netstat，全称为 “network statistics”，是一个在网络管理和故障排查中广泛使用的命令行工具，在 Windows、Linux、macOS 等多种操作系统中都能使用 。它就像是网络世界的 “听诊器”，可以让我们深入了解计算机网络连接的状态、路由表的信息以及网络接口的统计数据等，帮助我们快速发现网络中存在的问题。比如，当你怀疑服务器存在异常连接时，就可以借助 netstat 命令来一探究竟。
在使用 netstat 命令时，我们可以搭配不同的参数来实现各种强大的功能，下面为你介绍一些常见的参数及其用途：

• -na：这个参数组合非常实用，它会显示所有活动的网络连接，包括 TCP 和 UDP 连接，无论是已经建立的连接，还是处于监听状态等待连接的套接字，都能一览无余。在排查网络连接问题时，使用netstat -na，就能清晰地看到当前服务器上所有的网络连接情况，方便我们找出异常连接 。

• -an | grep :80 | sort：这个命令有点复杂，但作用可不小。它会显示所有 80 端口的网络连接，并对结果进行排序。我们都知道，80 端口通常是 HTTP 协议使用的端口，通过这个命令，我们可以轻松监控 Web 服务的连接情况 。如果发现同一个 IP 地址有大量连接到 80 端口，那很可能就是遭受了单点流量攻击，就像一群不速之客蜂拥进入一家商店，导致正常顾客无法进入 。

• -n -p|grep SYN_REC | wc -l：这个命令用于查找当前服务器上处于 SYN_REC（同步接收）状态的连接数量。在正常情况下，这个数值应该是比较小的，一般最好小于 5。因为 SYN_REC 状态是 TCP 三次握手过程中的一个中间状态，如果这个状态的连接过多，就可能意味着服务器正在遭受 SYN 洪水攻击，攻击者通过发送大量的 SYN 请求包，却不完成三次握手，导致服务器的资源被大量占用 。

• -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n：这个命令相对复杂一些，它的作用是计算每个主机连接到本机的连接数。它通过对 netstat 命令输出的网络连接信息进行一系列处理，先提取出每个连接的远程地址，然后统计每个地址的连接数，并进行排序，让我们能够清楚地了解到哪些主机与本机的连接最为频繁 。

• -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n：这个命令会列出所有连接到本机的 UDP 或者 TCP 连接的 IP 数量，全面展示与本机进行通信的 IP 地址情况，帮助我们从宏观上把握网络连接的分布 。

• -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr：用于检查处于 ESTABLISHED（已建立）状态的连接，并列出每个 IP 地址的连接数量 。ESTABLISHED 状态表示连接已经成功建立，通过这个命令，我们可以了解到哪些 IP 与本机建立了稳定的连接，以及它们的连接数量 。

• -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1：这个命令专门用于列出所有连接到本机 80 端口的 IP 地址及其连接数 。对于 Web 服务器管理员来说，这个命令可以帮助他们快速发现是否有异常的 IP 对 80 端口进行大量连接，从而及时采取措施应对可能的攻击 。

如何用 netstat 命令查看 DDoS 攻击

查看活跃的网络连接

在排查 DDoS 攻击时，第一步可以使用netstat -na命令，它能够显示所有连接到服务器的活跃网络连接 。当服务器遭受 DDoS 攻击时，这些连接数量往往会急剧增加，呈现出异常的状态。正常情况下，服务器上的活跃网络连接数量是相对稳定的，并且每个连接都对应着合法的业务请求 。然而，当遭受攻击时，攻击者控制的僵尸主机就会疯狂地向服务器发起连接请求，使得连接数量瞬间飙升，就像一家原本客流量稳定的商店，突然涌入了大量的不速之客，让人应接不暇 。通过观察连接数量的变化，我们可以初步判断服务器是否正在遭受攻击 。此外，仔细查看这些连接的来源 IP 地址也非常关键 。如果发现大量连接来自同一个 IP 地址，或者来自一些可疑的 IP 地址段，那么很有可能就是攻击者的 “杰作” 。这些异常的 IP 地址可能是攻击者控制的僵尸主机的地址，它们协同发起攻击，试图耗尽服务器的资源 。

筛选特定端口的连接

对于 Web 服务器来说，80 端口（HTTP 端口）是非常重要的 。我们可以使用netstat -an | grep :80 | sort命令来筛选出所有 80 端口的连接，并对结果进行排序 。如果看到同一个 IP 有大量连接到 80 端口，那就很有可能是遭受了单点流量攻击 。这种攻击方式就像是一群人集中涌入一家商店，把商店的空间和资源都占满了，导致其他正常顾客无法进入 。在实际情况中，攻击者可能会利用大量的僵尸主机，同时向目标服务器的 80 端口发送海量的请求，这些请求会占用服务器的大量资源，使得服务器无法正常处理其他合法用户的请求 。通过这个命令，我们能够快速发现这种异常的连接情况，及时采取措施进行防范 。比如，可以对这些异常连接的 IP 地址进行限制或封禁，阻止攻击者继续发起攻击 。

检查 SYN_REC 状态连接

使用netstat -n -p|grep SYN_REC | wc -l命令可以查找出当前服务器有多少个活动的 SYN_REC 连接 。在正常情况下，这个数值应该是比较小的，最好小于 5 。因为 SYN_REC 状态是 TCP 三次握手过程中的一个中间状态，正常的连接会很快完成三次握手，不会长时间停留在这个状态 。然而，当服务器遭受 SYN 洪水攻击时，攻击者会发送大量的 SYN 请求包，但并不完成三次握手，导致服务器上处于 SYN_REC 状态的连接大量增加 。这些半连接会占用服务器的资源，使得服务器无法再接受正常的连接请求 。所以，一旦发现 SYN_REC 状态的连接数量过高，就需要警惕服务器是否正在遭受攻击 。如果确定是遭受攻击，可以通过调整服务器的 TCP 参数，如增加 SYN 队列的长度、缩短 SYN - Timeout 时间等，来缓解攻击的影响 。同时，也可以使用防火墙等工具，对来自可疑 IP 地址的 SYN 请求进行过滤 。

计算 IP 连接数量

通过netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n命令，我们可以计算每个 IP 地址对服务器的连接数量 。在正常的网络环境中，每个 IP 地址与服务器的连接数量通常是有限的，并且符合业务的正常需求 。但是，当遭受 DDoS 攻击时，攻击者控制的僵尸网络会从多个 IP 地址向服务器发起大量的连接请求，导致某些 IP 地址的连接数量远远超出正常范围 。通过分析这些连接数量的数据，我们可以清晰地看到哪些 IP 地址的连接行为异常 。对于那些连接数量异常高的 IP 地址，我们可以进一步进行调查和分析，确定它们是否是攻击源 。如果确认是攻击源，就可以采取相应的措施，如封禁这些 IP 地址，阻止它们继续对服务器发起攻击 。同时，也可以将这些异常 IP 地址的信息记录下来，用于后续的安全分析和防范 。

实例分析

为了让大家更直观地理解如何使用 netstat 命令检测 DDoS 攻击，我们来模拟一个服务器遭受攻击的场景。假设你运营着一个小型的在线论坛，服务器使用的是 Linux 系统。
某一天，你突然收到用户反馈，论坛加载速度极慢，甚至无法访问 。这时，你立刻登录服务器，首先使用netstat -na命令查看所有活跃的网络连接 。结果显示，连接数量远远超出了正常水平，密密麻麻的连接信息让人触目惊心 。接着，你使用netstat -an | grep :80 | sort命令筛选 80 端口的连接 。发现有一个 IP 地址（假设为 192.168.1.100），它对 80 端口的连接数竟然达到了数千个 ，而正常情况下，每个 IP 地址的连接数应该只有几个到几十个 。这明显是异常的，很有可能是遭受了单点流量攻击 。
为了进一步确认，你使用netstat -n -p|grep SYN_REC | wc -l命令检查 SYN_REC 状态的连接数 。发现这个数值高达几百，远远超过了正常的小于 5 的范围 。这就几乎可以确定，服务器正在遭受 SYN 洪水攻击 。攻击者通过大量发送 SYN 请求包，却不完成三次握手，导致服务器资源被大量占用 。
最后，你使用netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n命令计算每个 IP 地址的连接数量 。结果显示，除了刚才发现的 192.168.1.100 这个 IP 地址有大量连接外，还有多个来自不同 IP 地址段的 IP，也有异常多的连接 。这表明，这不仅仅是一个简单的单点攻击，而是一场分布式的 DDoS 攻击 ，攻击者控制了多个僵尸主机，从不同的 IP 地址向你的服务器发起攻击 。
通过这个实例，相信大家已经清楚地看到了 netstat 命令在检测 DDoS 攻击时的强大作用 。它就像是一个敏锐的 “网络侦探”，能够帮助我们从复杂的网络连接信息中，快速发现攻击的迹象 ，为我们采取有效的防御措施争取宝贵的时间 。

应对措施

临时应对方法

当检测到服务器遭受 DDoS 攻击时，我们需要迅速采取行动，以减轻攻击的影响，尽可能减少损失。
首先，使用iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT命令可以关闭攻击 IP 的连接 。在使用这个命令时，我们需要将$IPADRESS替换为实际检测到的攻击源 IP 地址 。通过执行这个命令，服务器会拒绝来自攻击 IP 的所有连接请求，从而阻止攻击者继续向服务器发送恶意请求 ，就像在门口设置了一道屏障，把不速之客拒之门外 。
然后，我们需要杀掉所有相关的进程，以清理系统资源 。对于 Web 服务器来说，通常需要杀掉所有的 httpd 连接 。在 Linux 系统中，可以使用killall -9 httpd命令来强制终止所有 httpd 进程 。执行完这个命令后，系统中正在运行的 httpd 进程会被全部关闭，释放出被占用的系统资源 。
最后，重启相关服务，让服务器重新恢复正常运行 。对于 Web 服务器，我们需要重启 httpd 服务 。在 Linux 系统中，可以使用service httpd restart命令来重启 httpd 服务 。执行这个命令后，httpd 服务会重新启动，服务器可以重新开始接受和处理合法用户的请求 ，就像给服务器重新注入了活力，让它能够再次正常工作 。

长期防护建议

除了在攻击发生时采取临时应对措施外，我们还需要从长远角度考虑，采取一系列措施来防范 DDoS 攻击，保护服务器的安全。

• 使用高防服务器：高防服务器是专门为应对 DDoS 攻击而设计的，它具有强大的防护能力 。高防服务器通常配备了高性能的硬件设备，如高速的 CPU、大容量的内存和高速的网络接口，能够处理大量的网络请求 。同时，它还采用了先进的流量牵引技术，能够将正常流量和攻击流量分开 。当检测到攻击流量时，会将其牵引到专门的防御设备上进行处理，而不会让服务器直接承受攻击，从而保证服务器在遭受攻击时仍能正常运行 。例如，某电商平台在使用高防服务器后，成功抵御了多次大规模的 DDoS 攻击，保障了平台在促销活动期间的稳定运行 。

• 配置防火墙策略：防火墙是网络安全的重要防线，合理配置防火墙策略可以有效地过滤掉恶意流量 。我们可以根据服务器的业务需求，设置防火墙规则，只允许合法的 IP 地址和端口访问服务器 。例如，对于 Web 服务器，只开放 80 端口（HTTP）和 443 端口（HTTPS），禁止其他不必要的端口访问 。同时，还可以设置连接速率限制，防止某个 IP 地址在短时间内发起大量的连接请求 。比如，限制每个 IP 地址每秒最多只能发起 10 个连接请求 。此外，还可以利用防火墙的入侵检测和防御功能，实时监测网络流量，一旦发现异常流量，立即采取措施进行拦截 。

• 进行流量清洗：流量清洗是一种有效的 DDoS 攻击防御手段 。它通过专业的流量清洗设备或服务，对进入服务器的网络流量进行实时监测和分析 。当检测到攻击流量时，会自动将其从正常流量中分离出来，并进行清洗处理，只将正常的流量转发给服务器 。流量清洗可以有效地应对各种类型的 DDoS 攻击，包括流量型攻击、协议型攻击和应用型攻击 。目前，有许多专业的网络安全服务提供商都提供流量清洗服务，企业可以根据自身的需求选择合适的服务 。

• 定期更新系统和软件：保持服务器的操作系统、应用程序和安全软件的更新是非常重要的 。软件开发者会不断修复软件中存在的安全漏洞，及时更新系统和软件可以使服务器获得最新的安全补丁，从而降低被攻击的风险 。例如，某企业由于没有及时更新服务器的操作系统，被攻击者利用了系统中的一个已知漏洞，发动了 DDoS 攻击，导致服务器瘫痪了数小时 。因此，我们应该定期检查系统和软件的更新情况，并及时进行更新 。

• 加强网络监控：实时监控服务器的网络流量和连接状态，可以帮助我们及时发现 DDoS 攻击的迹象 。我们可以使用专业的网络监控工具，如 Nagios、Zabbix 等，对服务器的各项指标进行实时监测 。这些工具可以设置阈值，当网络流量、连接数等指标超过阈值时，会及时发出警报 。同时，还可以对监控数据进行分析，了解网络流量的变化趋势，以便及时发现异常情况 。比如，通过分析监控数据，发现某个时间段内来自某个 IP 地址段的连接数突然大幅增加，就需要警惕是否遭受了 DDoS 攻击 。

总结与互动

通过 netstat 命令，我们可以从多个角度监测服务器的网络连接状态，及时发现 DDoS 攻击的迹象 。从查看活跃的网络连接，到筛选特定端口的连接；从检查 SYN_REC 状态连接，到计算 IP 连接数量，每一个步骤都像是为服务器编织了一张严密的安全网 。
然而，网络安全是一场永不停歇的战斗，DDoS 攻击的手段也在不断变化和升级 。在这个过程中，netstat 命令虽然是一个强大的检测工具，但我们也不能仅仅依赖它 。我们需要不断学习和掌握新的网络安全知识和技术，结合多种安全防护手段，才能更好地保护我们的服务器和网络安全 。
我非常期待听到大家在网络安全领域的经验和故事 。你是否曾经遇到过服务器遭受攻击的情况？你是如何发现和应对的呢？对于使用 netstat 命令检测 DDoS 攻击，你有什么疑问或者独特的见解吗？欢迎在评论区留言分享，让我们一起交流探讨，共同提升网络安全意识和防护能力 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。