如何使用Linux查看系统被攻击情况? (linux查看 被攻击)

在当今互联网时代,网络安全问题越来越重要。特别是对于Linux系统的用户来说,需要了解系统是否存在被攻击的风险。本文将介绍如何使用Linux系统查看系统被攻击情况,以及如何采取措施保障系统安全。

一、基础命令

1.who

“who”命令可以查看当前登录的用户和IP地址。使用如下命令:

“`

who

“`

示例输出:

“`

user1 pts/0 2023-03-22 11:23 (192.168.0.1)

user2 pts/1 2023-03-22 12:07 (192.168.0.2)

“`

2.last

“last”命令可以查看最近的登录信息,如何使用如下命令:

“`

last

“`

示例输出:

“`

user1 pts/0 2023-03-22 11:23 (192.168.0.1)

user2 pts/1 2023-03-22 12:07 (192.168.0.2)

user1 pts/0 2023-03-21 09:58 (192.168.0.1)

“`

3.history

“history”命令可以查看最近执行的命令,如何使用如下命令:

“`

history

“`

示例输出:

“`

1 who

2 last

3 history

“`

二、基础工具

1.netstat

“netstat”命令可以查看当前的网络状态,包括TCP和UDP。使用如下命令:

“`

netstat -nap

“`

示例输出:

“`

(Not all processes could be identified, non-owned process info

will not be shown, you would have to be root to see it all.)

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1169/sshd

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1294/master

tcp 0 0 192.168.0.13:22 192.168.0.1:54092 ESTABLISHED 2314/sshd: ktangl

“`

2.top

“top”命令可以查看系统中运行的进程和各进程占用的系统资源,如何使用如下命令:

“`

top

“`

示例输出:

“`

top – 06:31:52 up 2 days, 3:11, 1 user, load average: 0.00, 0.00, 0.00

Tasks: 125 total, 1 running, 124 sleeping, 0 stopped, 0 zombie

%Cpu(s): 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st

KiB Mem : 3917968 total, 2388080 free, 674488 used, 856400 buff/cache

KiB Swap: 8592380 total, 8592380 free, 0 used. 3119204 avl Mem

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

24788 root 20 0 666816 13012 9792 S 0.7 0.3 0:00.08 sshd

1 root 20 0 164972 5736 4032 S 0.0 0.1 0:05.76 systemd

2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd

3 root 20 0 0 0 0 S 0.0 0.0 0:01.19 ksoftirqd/0

“`

三、安全工具

1.auditd

“auditd”是Linux的安全审计服务,可以记录所有系统事件,包括登录、文件访问和系统启动。安装auditd:

“`

yum install audit audit-libs audit-libs-python auditd-python

“`

并创建一个新的审计规则:

“`

sudo auditctl -w /etc/passwd -p war -k password-file

“`

这将监视/etc/passwd文件的所有写入、附加和读取操作,并记录事件到日志文件中。日志文件通常位于/var/log/audit/audit.log。

2.tcpdump

“tcpdump”命令允许用户捕获网络数据包,并将它们输出到控制台或文件中。使用如下命令:

“`

sudo tcpdump -n -i eth0 -w captured-packets.pcap

“`

该命令监视“eth0”网络接口的所有数据包,并输出到名为“captured-packets.pcap”的文件中。

3.nmap

“nmap”是一款用于网络探测和安全评估的开源工具。使用如下命令:

“`

nmap -v -A

“`

该命令显示远程主机的详细信息,包括开放的端口号和运行的服务列表。

四、

相关问题拓展阅读:

  • 在Linux下如何查找CC攻击

在Linux下如何查找CC攻击

一些基础命令你要理解。由于CC主要是针对80端口,你就可以去查看80端口的一些情况来分析

查看所有80端口的连接数

netstat -nat|grep -i “80”|wc -l

对连接的IP按连接数量进行排序

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

查看TCP连接状态

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn

netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’

netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,“\t”,state[key]}’

netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,“\t”,arr[k]}’

netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn

netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]’ | sort | uniq -c

查看80端口连接数最多的20个IP

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk ‘/:80/{split($5,ip,“:”);++A[ip[1]]}END{for(i in A) print A,i}’ |sort -rn|head -n20

用tcpdump嗅探80端口的访问看看谁更高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F“。” ‘{print $1“。”$2“。”$3“。”$4}’ | sort | uniq -c | sort -nr |head -20

查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20

查找较多的SYN连接

netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more

找出几个大流量的IP,可以先把他们封掉,等30分钟后再解封看看

封单个IP的命令是:

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是:

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是:

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是:

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

关于linux查看 被攻击的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。

香港服务器首选树叶云,2H2G首月10元开通。
树叶云(shuyeidc.com)提供简单好用,价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/217366.html<

(0)
管理的头像管理
上一篇2025-04-13 03:53
下一篇 2025-04-13 03:54

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注