最近服务器被攻击,带宽一直满的。。
记录下查找攻击者ip的方法
首先抓流量包
tcpdump -i any -n tcp -l >log.txt
any是所有网卡端口。可以设置成对应的网卡编号eth0或其他
通过awk统计每个Ip访问的次数
cat log|perl -lne ' print $1 if ( /((\d{1,3}\.){3}\d{1,3})/ ) ' |grep -v '10.10.1.123' |sort -rn |uniq -c|sort -rn
最后找到对应的IP通过防火墙拒绝掉对应的请求
