分布式拒絕服務（Distributed Denial of Service，簡稱DDoS）將多臺計算機聯合起來作為攻擊平臺，通過遠程連接利用惡意程序，對一個或多個目標發起DDoS攻擊，消耗目標服務器性能或網絡帶寬，從而造成服務器無法正常地提供服務，。

一些例子和解釋

netstat -na

該命令將顯示所有活動的網絡連接。

netstat -an | grep :80 | sort

顯示所有80端口的網絡連接并排序。這里的80端口是http端口，所以可以用來監控web服務。如果看到同一個IP有大量連接的話就可以判定單點流量攻擊了。

netstat -n -p|grep SYN_REC | wc -l

這個命令可以查找出當前服務器有多少個活動的 SYNC_REC 連接。正常來說這個值很小，最好小于5。當有Dos攻擊或者郵件炸彈的時候，這個值相當的高。盡管如此，這個值和系統有很大關系，有的服務器值就很高，也是正常現象。

netstat -n -p | grep SYN_REC | sort -u

列出所有連接過的IP地址。

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所有發送SYN_REC連接節點的IP地址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令計算每個主機連接到本機的連接數。

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出所有連接到本機的UDP或者TCP連接的IP數量。

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查 ESTABLISHED 連接并且列出每個IP地址的連接數量。

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

列出所有連接到本機80端口的IP地址和其連接數。80端口一般是用來處理HTTP網頁請求。

如何減少DOS攻擊

一旦你獲得攻擊服務器的IP地址你就可以使用以下命令拒絕此IP的所有連接。

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

注意，你需要將 $IPADRESS 替換成需要拒絕連接的IP地址。

執行完以上命令后，使用以下命令結束所有的httpd連接以清理系統。

killall -KILL httpd

然后執行以下命令重啟httpd服務。

service httpd start           #RedHat 系統/etc/init/d/apache2 restart   #Debian 系統