检查Linux服务器是否遭受特定IP的DDoS攻击

如果你的数据中心里有Linux服务器，或者你使用的其他云服务商的机器，你不能仅仅因为你部署的操作系统就认为它们是安全的。虽说Linux是市场上最安全的操作系统之一，但也不是百分百完美。事实上，该平台上的攻击事件一直在上升，随着Linux的进一步普及，这种攻击将继续呈上升趋势。
当你怀疑你的一台服务器可能受到攻击时，你需要对它进行检查。今天我将向您介绍几个命令，它们可以帮助你辨别你的服务器是否正受到来自单个IP地址的分布式拒绝服务（DDoS）的攻击。
让我们来看看如何判断你的Linux服务器是不是被攻击的目标。
首先，你需要一个Linux实例，并且具有sudo权限的帐号。我将在Ubuntu服务器20.04上进行演示。
如何安装netstat
我们将使用netstat工具来找出当前连接到服务器的IP地址。要在Ubuntu上安装netstat，你需要安装net-tools，如下命令。
sudo apt-get install net-tools -y
如果你使用的是CentOS或基于Red Hat的安装，netstat应该已经安装好了。
如何检查你的服务器负载
我们要做的第一件事是检查我们的服务器负载。我们将使用的命令将返回逻辑处理器（线程）的数量。在服务器上，这个数字应该是相当低的，但这取决于你有什么运行。当你知道一切正常的时候，你应该确保为这个数字运行一个基线。如果你怀疑有什么事情发生，再次运行线程检查并进行比较。
要检查逻辑处理器的数量，请发出命令。
grep processor /proc/cpuinfo | wc -l
如果这个数字明显高于你的基线，可能有问题。
例如，在我的Pop！_OS桌面上，我有16个线程，但在托管云服务商的Ubuntu服务器上， 只有两个。如果这些数字中的任何一个翻倍，可能就正在受到DDoS攻击。
如何检查你的网络负载
接下来我们要检查我们的网络负载。有很多工具可以做到这一点，但我选择nload。要安装nload，请发布命令。
sudo apt-get install nload -y.
在CentOS上，这个命令是
sudo dnf install nload -y
要运行该工具，只需发出命令。
nload
你应该可以看到一个相当正常的进出网络负载（图A）。

如果该负载比你认为应该的负载高得多，你可能受到了攻击。
如何找出连接到你的服务器的IP地址？
接下来你要做的是找出连接到你的服务器的IP地址。为此，我们将使用netstat。
netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
上面命令的输出将列出每个连接到服务器的IP地址，以及每个IP地址的连接多少个实例。
一定要仔细查看这个列表，找到异常的IP地址，然后可以用命令禁止这个IP地址。
sudo route add ADDRESS reject
其中ADDRESS是异常的IP地址。
此时，返回并重新检查线程，连接的IP地址和网络负载，以查看是否减轻了DDoS攻击。如果是这样，该是时候报告可疑的IP地址，并完全禁止其访问自己的网络。