如何使用Linux查看系统被攻击情况？(linux查看被攻击)

在当今互联网时代，网络安全问题越来越重要。特别是对于Linux系统的用户来说，需要了解系统是否存在被攻击的风险。本文将介绍如何使用Linux系统查看系统被攻击情况，以及如何采取措施保障系统安全。

成都创新互联公司主要为客户提供服务项目涵盖了网页视觉设计、VI标志设计、成都营销网站建设、网站程序开发、HTML5响应式重庆网站建设、手机网站制作设计、微商城、网站托管及网站维护公司、WEB系统开发、域名注册、国内外服务器租用、视频、平面设计、SEO优化排名。设计、前端、后端三个建站步骤的完善服务体系。一人跟踪测试的建站服务标准。已经为护栏打桩机行业客户提供了网站维护服务。

一、基础命令

1.who

“who”命令可以查看当前登录的用户和IP地址。使用如下命令：

“`

who

“`

示例输出：

“`

user1 pts/0 2023-03-22 11:23 (192.168.0.1)

user2 pts/1 2023-03-22 12:07 (192.168.0.2)

“`

2.last

“last”命令可以查看最近的登录信息，如何使用如下命令：

“`

last

“`

示例输出：

“`

user1 pts/0 2023-03-22 11:23 (192.168.0.1)

user2 pts/1 2023-03-22 12:07 (192.168.0.2)

user1 pts/0 2023-03-21 09:58 (192.168.0.1)

“`

3.history

“history”命令可以查看最近执行的命令，如何使用如下命令：

“`

history

“`

示例输出：

“`

1 who

2 last

3 history

“`

二、基础工具

1.netstat

“netstat”命令可以查看当前的网络状态，包括TCP和UDP。使用如下命令：

“`

netstat -nap

“`

示例输出：

“`

(Not all processes could be identified, non-owned process info

will not be shown, you would have to be root to see it all.)

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1169/sshd

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1294/master

tcp 0 0 192.168.0.13:22 192.168.0.1:54092 ESTABLISHED 2314/sshd: ktangl

“`

2.top

“top”命令可以查看系统中运行的进程和各进程占用的系统资源，如何使用如下命令：

“`

top

“`

示例输出：

“`

top – 06:31:52 up 2 days, 3:11, 1 user, load average: 0.00, 0.00, 0.00

Tasks: 125 total, 1 running, 124 sleeping, 0 stopped, 0 zombie

%Cpu(s): 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st

KiB Mem : 3917968 total, 2388080 free, 674488 used, 856400 buff/cache

KiB Swap: 8592380 total, 8592380 free, 0 used. 3119204 avl Mem

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

24788 root 20 0 666816 13012 9792 S 0.7 0.3 0:00.08 sshd

1 root 20 0 164972 5736 4032 S 0.0 0.1 0:05.76 systemd

2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd

3 root 20 0 0 0 0 S 0.0 0.0 0:01.19 ksoftirqd/0

“`

三、安全工具

1.auditd

“auditd”是Linux的安全审计服务，可以记录所有系统事件，包括登录、文件访问和系统启动。安装auditd：

“`

yum install audit audit-libs audit-libs-python auditd-python

“`

并创建一个新的审计规则：

“`

sudo auditctl -w /etc/passwd -p war -k password-file

“`

这将监视/etc/passwd文件的所有写入、附加和读取操作，并记录事件到日志文件中。日志文件通常位于/var/log/audit/audit.log。

2.tcpdump

“tcpdump”命令允许用户捕获网络数据包，并将它们输出到控制台或文件中。使用如下命令：

“`

sudo tcpdump -n -i eth0 -w captured-packets.pcap

“`

该命令监视“eth0”网络接口的所有数据包，并输出到名为“captured-packets.pcap”的文件中。

3.nmap

“nmap”是一款用于网络探测和安全评估的开源工具。使用如下命令：

“`

nmap -v -A

“`

该命令显示远程主机的详细信息，包括开放的端口号和运行的服务列表。

四、

相关问题拓展阅读：

• 在Linux下如何查找CC攻击

在Linux下如何查找CC攻击

一些基础命令你要理解。由于CC主要是针对80端口，你就可以去查看80端口的一些情况来分析

查看所有80端口的连接数

netstat -nat|grep -i “80”|wc -l

对连接的IP按连接数量进行排序

netstat -ntu | awk ‘{print $5}’ | cut -d： -f1 | sort | uniq -c | sort -n

查看TCP连接状态

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn

netstat -n | awk ‘/^tcp/ {++S［$NF］};END {for（a in S） print a， S［a］}’

netstat -n | awk ‘/^tcp/ {++state［$NF］}; END {for（key in state） print key，“\t”，state［key］}’

netstat -n | awk ‘/^tcp/ {++arr［$NF］};END {for（k in arr） print k，“\t”，arr［k］}’

netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn

netstat -ant | awk ‘{print $NF}’ | grep -v ‘［a-z］’ | sort | uniq -c

查看80端口连接数最多的20个IP

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F： ‘{print $1}’|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk ‘/：80/{split（$5，ip，“：”）;++A［ip［1］］}END{for（i in A） print A，i}’ |sort -rn|head -n20

用tcpdump嗅探80端口的访问看看谁更高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F“。” ‘{print $1“。”$2“。”$3“。”$4}’ | sort | uniq -c | sort -nr |head -20

查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20

查找较多的SYN连接

netstat -an | grep SYN | awk ‘{print $5}’ | awk -F： ‘{print $1}’ | sort | uniq -c | sort -nr | more

找出几个大流量的IP，可以先把他们封掉，等30分钟后再解封看看

封单个IP的命令是：

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是：

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是：

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是：

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

关于linux查看 被攻击的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。

香港服务器选创新互联，2H2G首月10元开通。
创新互联（www.cdcxhl.com）互联网服务提供商,拥有超过10年的服务器租用、服务器托管、云服务器、虚拟主机、网站系统开发经验。专业提供云主机、虚拟主机、域名注册、VPS主机、云服务器、香港云服务器、免备案服务器等。

网页名称：如何使用Linux查看系统被攻击情况？(linux查看被攻击)
文章网址：http://www.mswzjz.cn/qtweb/news18/251568.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能