我使用http -2.2.15运行CentOS 6
在HTTP攻击下,我可以看到许多http进程正在运行。
> netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n > 1 established) > 1 Foreign > 2 LAST_ACK > 11 LISTEN > 15 FIN_WAIT2 > 19 CLOSING > 27 FIN_WAIT1 > 91 SYN_RECV > 116 ESTABLISHED > 10399 TIME_WAIT 所有连接的数量:
netstat -an | grep :80 | wc -l 10533
统计所有唯一的IP地址:
netstat -nat | awk '{ print $5}' | cut -d: -f1 | sed -e '/^$/d' | uniq | wc -l 231
请build议我们可以做些什么来找出谁是最多的连接?
PS:服务器负载虽然没有受到这种攻击的影响。
感谢您的帮助。
这些是空行被计数,在pipe道中的uniq之前添加grep -v '^$'将解决它。 这很可能不是攻击,但也许是一个软件问题。 你的正常数字是多less? 我见过有关MySQL 4/5的文章,导致大量TIME WAIT状态连接。 你有任何新的安装或更新,configuration与问题相对应的变化?
我在这里发布的数据中看不到有任何攻击的证据。
我认为这些数字唯一不寻常的是TCP连接的打开和closures速度。 我不希望看到SYN_RECV , FIN_WAIT1和FIN_WAIT2两位数字。 这意味着,如果发生攻击,可能不是基于TCP /端口80,或者使某个networkingpipe道饱和,从而导致通信速度变慢,可能是设备的上游。
看看你的带宽图,并要求你的托pipe服务提供商看看他们的。 如果没有显示任何内容,请开始寻找故障的networking设备。 如果您可以看到带宽大幅上升,则可以从任何边缘networking设备中提取统计数据,以了解您所看到的那类stream量。
TIME_WAIT连接对您来说不是问题。 当你有这么多的人时,他们只会成为一个问题,你不能build立新的联系。 这个门槛默认是30,000。