当网站受到攻击的时候我们第一个想到的答案就是查看web的log..或者用netstat -an查看网络连接,判断攻击类型,然后用iptables进行封锁ip。这种方案看起来很管用,但是有时候服务器受到肉鸡的CC攻击的时候根本从log中看不到什么有用的信息。而这个时候就需要用抓包来分析ip的来源了,linux下的抓包工具我就不例举了,这里我只说说tcpdump

   简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
  具体用法。
1.tcpdump -D
tcpdump 查找攻击者IP_tcpdump
查看tcpdump可以监听的网卡接口
2.tcpdump -i any tcp
tcpdump 查找攻击者IP_休闲_02
查看tcpdump监听到的包信息,默认是转化为域名,主机
3.tcpdump -i any tcp -n
tcpdump 查找攻击者IP_tcpdump_03
用IP来显示,不用主机,域名访问记录
4.tcpdump -i -n any tcp port 80 
tcpdump 查找攻击者IP_tcpdump_04
制定端口监听包。
6.实例:
用tcpdump来收集ip的访问量
tcpdump 查找攻击者IP_职场_05

 

 

本文出自 “mcshell学习博客” 博客,请务必保留此出处http://mcshell.blog.51cto.com/803455/392243

cat mm|perl -lne ' print $1 if ( /((\d{1,3}\.){3}\d{1,3})/    ) '    |grep -v '74.55.176.178' |sort -rn |uniq -c|sort -rn
 
tcpdump 查找攻击者IP_职场_06
过滤掉自身的服务器地址,然后寻找攻击者的IP
然后DROP掉