sax888

服務器上的一些統計數據：
netstat -nat|grep -i "80"|wc -l
8211
ps -ef|grep httpd|wc -l
147
netstat -na|grep ESTABLISHED|wc -l
195

這麼鏈接,多半是被DDOS了
你使用這個命令可以查出哪個IP地址連接最多,將其封了.
netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r +0n
netstat -na|grep SYN|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r +0n

windows底下可以用這個命令查詢當前開放的80端口的連接有多少：
netstat -an | find /C ":80" /I

以前用iptables做防火牆，用Linux做路由器，後來倒不是外部的來攻擊80/25 /21，倒
是內部的BT之類的搞得連接太多，其它人差點上不了網。

怎麼辦呀？一描，查到連接數超過40的，就封了。可人家後面還要上網呀？
怎麼才能限制一個IP/MAC只能限定連接數，限定端口？不能時不時的啟動iptables?
有沒有工具能自動實時檢測連接數呀？現在大多數的DDOS都是利用的可憐的終端用戶作為攻擊的帶寬,如果你用iptables封 IP的話如果是正常的用戶的可能也被封了,自己感覺不太好。當DDos來攻擊的時候，如果流量達到幾個G或者說超過你的總流量，除非你前端有很強的防火牆，不然像一個大石頭堵住你的瓶口。