仙人掌显示不规则和相当稳定的高带宽到我的服务器(40倍的正常),所以我想服务器是一个类似的DDoS攻击。 传入的带宽并没有使我的服务器陷入瘫痪,但是当然还是消耗了带宽,影响了性能,所以我很想找出可能的罪魁祸首,把它们加到我的拒绝列表中,否则就会对付它们。 当我运行:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 我得到了一个长长的IP列表,每个列表最多有400个连接。 我检查了大量发生的IP,但他们来自我的CDN。 所以我想知道什么是最好的方法来帮助监视每个IP为了查明恶意的请求。 我正在使用Ubuntu服务器。
谢谢
假设它是一个Web服务器,并且连接在端口80/443上,请检查您的Apache / Web服务器日志以查看用户代理是什么。 你可能会发现它是一个search引擎机器人。 抓取机器人(恶意的,真实的和边缘的)的数量在过去几年中已经大幅增加,并可能导致您看到的确切行为。
一旦你认为你已经确定了一个有问题的IP,那么下一个最好的步骤就是检查stream量。 你可以使用tcpdump来做到这一点
tcpdump -i eth0 host 192.168.1.3 and port 80 -n -s 0 -vvv -w ~/tcpdump.cap
然后用Wireshark打开tcpdump并轻松查看