显示在Linux中攻击我的服务器的IP列表（CentOS6）

Question

我的目标是获得攻击服务器的IP的准确列表，而不是无辜的IP。 我试着用

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

但我还远远不能确定它会在同一个列表中显示攻击者列表，而不是无辜的ips。 大多数攻击都在第7层，所以http在端口80上。目的是获取列表，复制并粘贴到文本文件中，运行批处理脚本并在每行添加ipset add blacklist 。 然后我可以使用ipset和iptables在很短的时间内阻止每个攻击的IP。

Answer 1

您实际描述的是制作自己的入侵检测系统，这是一个可以检测攻击（在这种情况下是DDOS）并做出适当响应的程序。 通常，您希望使用预先存在的工具（如果有的话），特别是如果您对Linux网络/系统管理缺乏经验。

我建议你尝试使用Snort ，一个免费的，开源的，高度可定制的轻量级入侵检测系统。 我还建议您查看SnortSam插件 ，它可以添加一些更友好的方式来实现您的需求。