明明白白你的Linux服务器——网络篇(2)

 3、 寻找恶意IP并用iptables禁止掉

找出恶意链接你的服务器80端口的IP，直接用iptables来drop掉它；这里建议写脚原本运行，有兴趣的请参考我在51cto.com里发表的自动分析黑名单及白名单的iptables脚本一文

netstat -an| grep :80 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: 
  '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}'

iptables脚本执行完毕后，用iptables –nv –L 可查看其规则，下面的iptables语法比较详细，推荐记忆

iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动做>

4、SMTP会话处理方式

捕获一个SMTP会话，如下命令很管用，推荐下 ；不喜欢用命令的同窗我推荐用wireshark

tcpdump -vv –x –X –s 1500 `port 25`

5、打印自动运行服务

打印出自动运行的服务，三、5级别的便可；固然喜欢图形的同窗可用ntsysv工具。

[root@ltos test]# chkconfig -list | grep 3:on | awk '{print $1,$5}'
[root@ltos test]# chkconfig –list | grep 5:on | awk '{print $1,$7}'

6、使用Netstat查看协议数据

Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，通常用于检验本机各端口的网络链接状况。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
-a 显示全部链接和监听端口。
-b 显示包含于建立每一个链接或监听端口的可执行组件。
-e 显示以太网统计信息。此选项能够与-s选项组合使用。
-n 以数字形式显示地址和端口号。
-o 显示与每一个链接相关的所属进程 ID。
-p proto 显示 proto 指定的协议的链接。
-r 显示路由表。
-s 显示按协议统计信息。

通常用得比较多的就是netstat -an与netstat –rn