一(yi)、網絡流量實時監控工具(ju)

1. iftop：可視化流量監控

• 功能：實(shi)時顯示網(wang)卡流量(liang)(liang)、連接數、IP 通信(xin)量(liang)(liang)，快速定位異常流量(liang)(liang)來源。

• 安裝(zhuang)命令(ling)（CentOS/Ubuntu）：

  bash

  # CentOSyum install iftop -y# Ubuntuapt-get install iftop -y

  
  

• 常用參數：

  bash

  iftop -i eth0 -P -n  # -i指定網卡，-P顯示端口，-n不解析域名

  
  

• 攻擊特征(zheng)：

• 某一 IP 或端口(kou)的流量突然飆升，超過服(fu)務器正常(chang)帶寬的 50% 以上(shang)。

• 大量來(lai)自不(bu)同 IP 的短時連(lian)接（如(ru) UDP Flood）。

2. tcpdump：抓包分析協議特征

• 功(gong)能：捕獲網絡數據包，分析攻擊類型（如 SYN Flood、ICMP Flood）。

• 示例命令：

  bash

  tcpdump -i eth0 -n host 192.168.1.100  # 抓指定IP的包tcpdump -i eth0 -n 'tcp and port 80'  # 抓80端口的TCP包

  
  

• 攻(gong)擊特征(zheng)：

• SYN Flood：大量 SYN 包但無 ACK 響應（tcpdump | grep "SYN,ACK" | wc -l 遠小于 SYN 包數量）。

• UDP Flood：短時間內大(da)量 UDP 包發往(wang)隨機端(duan)口(kou)。

3. nload：帶寬實時(shi)監控

• 功能：分上下行顯示帶寬(kuan)使用情況(kuang)，設置閾值預警。

• 安裝(zhuang)與(yu)使(shi)用：

  bash

  yum/apt-get install nload
  nload eth0  # 監控eth0網卡

  
  

• 異常(chang)判斷(duan)：

• 下行帶寬(kuan)持續超過服(fu)務(wu)器峰值帶寬(kuan)的 80%，且非(fei)正常業務(wu)流量（如(ru)無更新、下載）。

二、系統連接與(yu)資源(yuan)監控

1. netstat/lsof：連接數(shu)異常檢測

• 查看全連接數：

  bash

  netstat -an | grep ESTABLISHED | wc -l  # 正常游戲服務器連接數通常穩定在幾百到幾千

  
  

• 查(cha)看異(yi)常 IP 連接數(shu)：

  bash

  netstat -an | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10

  
  

• 攻(gong)擊特征(zheng)：

• 單一 IP 的(de)連接(jie)數超(chao)過 100+（正常用戶通常 1-5 個連接(jie)）。

• CLOSE_WAIT或SYN_RECV狀態的連(lian)接數激增（SYN Flood 特(te)征(zheng)）。

2. top/htop：CPU 與內存壓力(li)檢測

• 命令示例：

  bash

  top -o %CPU  # 按CPU占用排序htop  # 可視化查看進程資源占用

  
  

• 攻擊特征(zheng)：

• 網卡軟中斷（top中si%）占用 CPU 超過 30%（可能為大(da)量小包攻擊）。

• 內存帶(dai)寬(kuan)被(bei)占(zhan)滿(man)，或出現(xian) swap 交換（流(liu)量過(guo)大導致系統(tong)資源耗(hao)盡(jin)）。

3. ss：TCP 狀態詳細分析

• 查看各(ge)狀態(tai)連接數：

  bash

  ss -s  # 總連接數統計ss -tan | awk '{print $2}' | sort | uniq -c  # 各狀態連接數

  
  

• DDoS 典型(xing)狀態：

  plaintext

  LISTEN     1000+    # 監聽端口數異常高
  SYN_RECV   500+     # SYN半連接過多

  
  

三(san)、日志分析與自動化檢測工(gong)具

1. DDoS deflate：自動檢(jian)測與封禁工具

• 部署步驟(zou)：

1. 安裝腳本：wget //raw.githubusercontent.com/jgmdev/ddos-deflate/master/ddos-deflate.sh

2. 配置閾值（如MAX_CONNECTIONS=100）：vi /etc/ddos-deflate.conf

3. 啟動服務：sh ddos-deflate.sh start

• 檢測原理：

• 通過netstat監控各 IP 連接數，超過閾值則用iptables封禁 IP。

• 日志(zhi)查看：tail -f /var/log/ddos-deflate.log，查(cha)看被封禁的(de) IP 和原因。

2. Web 服務日志分析(xi)（Nginx/Apache）

• 異常請求檢(jian)測：

  bash

  # Nginx日志中找高頻訪問IPgrep '2023-06-13' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -10

  
  

• 攻擊特征：

• 單一 IP 短時間內發起 1000 + 次請求（CC 攻擊）。

• 請求路徑異常（如大量(liang)訪問不存在的 URL）。

3. fail2ban：暴力破解與 DDoS 聯(lian)動檢測

• 配置優化：

  bash

  vi /etc/fail2ban/jail.conf[nginx-http-auth]maxretry = 20        # 調整失敗次數閾值findtime = 60s       # 縮短檢測時間窗口

  
  

• 檢測效果：

• 實時監控(kong) SSH、Web 等服務日志，自(zi)動封禁高頻(pin)攻擊 IP。

四(si)、..流量分析(xi)與告警系統

1. Prometheus+Grafana：可視化監控(kong)與(yu)告警

• 關(guan)鍵指標(biao)配置：

• node_network_transmit_bytes：出站(zhan)流量閾值（如(ru)超過服務器(qi)帶寬 80% 時告警）。

• tcp_connections：總連接數超過 10000 時觸發告警(jing)。

• Grafana 儀表盤示例：

• 繪(hui)制 “各(ge) IP 連接數(shu) TOP10” 圖(tu)表，實時顯示(shi)異常 IP。

2. MTR/Traceroute：網絡路徑(jing)異常檢測

• 功(gong)能：檢測是(shi)否存在流量(liang)劫持(chi)或異常(chang)路(lu)由（DDoS 牽引后的路(lu)徑驗證）。

• 命令示例：

  bash

  mtr -n 8.8.8.8  # 查看到谷歌DNS的路由是否穩定

  
  

• 異常判斷(duan)：

• 某一跳延遲突然升高（如超過 500ms），可能為攻擊導致網絡擁塞。

五、貴州服務器專屬(shu)檢測建(jian)議

1. 結合 BGP 網絡監控：

• 使用bgpq3或機房提供的 BGP 監控工具，查看路由(you)表(biao)是否有(you)異常流量牽引(yin)（如貴(gui)州本地 BGP 節(jie)點流量突然激增(zeng)）。

2. IDC 機房聯動檢測(ce)：

• 聯系貴州 IDC 機房（如貴安新(xin)區數(shu)據中(zhong)心）獲取流(liu)量清洗(xi)日(ri)志，確認是(shi)否觸發機房級抗 D 設(she)備(bei)。

3. 地域(yu) IP 分析(xi)：

• 用geoiplookup分析(xi)攻(gong)擊(ji) IP 地域，若大量來自非游戲用(yong)戶集中地區(qu)（如海外(wai)），可能為 DDoS 攻(gong)擊(ji)。

  bash

  apt-get install geoip-database geoip-bin
  geoiplookup 1.1.1.1

  
  

六、應(ying)急檢測流程（實(shi)戰步驟）

1. ..步：快(kuai)速(su)判斷是否遭攻擊

   bash

   # 1. 查看帶寬nload eth0# 2. 查看連接數netstat -an | wc -l# 3. 查看異常IPnetstat -an | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

   
   

2. 第(di)二步：定位攻擊(ji)類(lei)型

• 若(ruo)帶(dai)寬占滿(man)：可能為 UDP/ICMP Flood。

• 若連接數(shu)爆(bao)增：可能為 SYN Flood 或 CC 攻擊。

3. 第(di)三步：啟動應(ying)急檢測工具

   bash

   tcpdump -i eth0 -c 1000 -w attack.pcap  # 抓包保存分析ddos-deflate.sh manual  # 手動觸發一次檢測封禁

   
   

通過以上工(gong)具(ju)和方(fang)法(fa)，可在(zai) Linux 系統中(zhong)實時(shi)檢測 DDoS 攻擊，并結合貴州服(fu)務器(qi)的網絡環境(jing)快速定位問題，為后續防御（如流量牽引(yin)、IP 封禁）提供數據支撐。建議將檢測命(ming)令寫成 Shell 腳本，定時(shi)執行并發送告警郵件，提升響應效率。

（聲明：本文(wen)來源(yuan)于(yu)網絡，僅供參考閱讀，涉及(ji)侵權請聯系我(wo)們(men)刪除(chu)、不(bu)代(dai)表任何立場以(yi)及(ji)觀(guan)點。）