三、 寻找恶意IP并用iptables禁止掉
找出恶意连接你的服务器80端口的IP,直接用iptables来drop掉它;这里建议写脚本来运行,有兴趣的请参考我在51cto.com里发表的自动分析黑名单及白名单的iptables脚本一文
netstat -an| grep :80 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}'
iptables脚本执行完毕后,用iptables –nv –L 可查看其规则,下面的iptables语法比较详细,推荐记忆
iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作>
四、SMTP会话处理方式
捕获一个SMTP会话&#xff0c;以下命令很管用&#xff0c;推荐下 &#xff1b;不喜欢用命令的同学我推荐用wireshark
- tcpdump -vv –x –X –s 1500 &#96;port 25&#96;
五、打印自动运行服务
打印出自动运行的服务&#xff0c;3、5级别的即可&#xff1b;当然喜欢图形的同学可用ntsysv工具。
- [root&#64;ltos test]# chkconfig -list | grep 3:on | awk &#39;{print $1,$5}&#39;
- [root&#64;ltos test]# chkconfig –list | grep 5:on | awk &#39;{print $1,$7}&#39;
六、使用Netstat查看协议数据
Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据&#xff0c;一般用于检验本机各端口的网络连接情况。
- NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
- -a 显示所有连接和监听端口。
- -b 显示包含于创建每个连接或监听端口的可执行组件。
- -e 显示以太网统计信息。此选项可以与-s选项组合使用。
- -n 以数字形式显示地址和端口号。
- -o 显示与每个连接相关的所属进程 ID。
- -p proto 显示 proto 指定的协议的连接。
- -r 显示路由表。
- -s 显示按协议统计信息。
一般用得比较多的就是netstat -an与netstat –rn
京公网安备 11010802041100号