一、网络流量实时监控工具

1. iftop：可视化流量监控

• 功能：实时显示网卡流量、连接数、IP 通信量，快速定位异常流量来源。

• 安装命令（CentOS/Ubuntu）：

  bash

  # CentOSyum install iftop -y# Ubuntuapt-get install iftop -y
  

   

• 常用参数：

  bash

  iftop -i eth0 -P -n  # -i指定网卡，-P显示端口，-n不解析域名
  

   

• 攻击特征：

  • 某一 IP 或端口的流量突然飙升，超过服务器正常带宽的 50% 以上。

  • 大量来自不同 IP 的短时连接（如 UDP Flood）。

2. tcpdump：抓包分析协议特征

• 功能：捕获网络数据包，分析攻击类型（如 SYN Flood、ICMP Flood）。

• 示例命令：

  bash

  tcpdump -i eth0 -n host 192.168.1.100  # 抓指定IP的包tcpdump -i eth0 -n 'tcp and port 80'  # 抓80端口的TCP包
  

   

• 攻击特征：

  • SYN Flood：大量 SYN 包但无 ACK 响应（tcpdump | grep "SYN,ACK" | wc -l 远小于 SYN 包数量）。

  • UDP Flood：短时间内大量 UDP 包发往随机端口。

3. nload：带宽实时监控

• 功能：分上下行显示带宽使用情况，设置阈值预警。

• 安装与使用：

  bash

  yum/apt-get install nload
  nload eth0  # 监控eth0网卡
  

   

• 异常判断：

  • 下行带宽持续超过服务器峰值带宽的 80%，且非正常业务流量（如无更新、下载）。

二、系统连接与资源监控

1. netstat/lsof：连接数异常检测

• 查看全连接数：

  bash

  netstat -an | grep ESTABLISHED | wc -l  # 正常游戏服务器连接数通常稳定在几百到几千
  

   

• 查看异常 IP 连接数：

  bash

  netstat -an | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10
  

   

• 攻击特征：

  • 单一 IP 的连接数超过 100+（正常用户通常 1-5 个连接）。

  • CLOSE_WAIT或SYN_RECV状态的连接数激增（SYN Flood 特征）。

2. top/htop：CPU 与内存压力检测

• 命令示例：

  bash

  top -o %CPU  # 按CPU占用排序htop  # 可视化查看进程资源占用
  

   

• 攻击特征：

  • 网卡软中断（top中si%）占用 CPU 超过 30%（可能为大量小包攻击）。

  • 内存带宽被占满，或出现 swap 交换（流量过大导致系统资源耗尽）。

3. ss：TCP 状态详细分析

• 查看各状态连接数：

  bash

  ss -s  # 总连接数统计ss -tan | awk '{print $2}' | sort | uniq -c  # 各状态连接数
  

   

• DDoS 典型状态：

  plaintext

  LISTEN     1000+    # 监听端口数异常高
  SYN_RECV   500+     # SYN半连接过多
  

   

三、日志分析与自动化检测工具

1. DDoS deflate：自动检测与封禁工具

• 部署步骤：

  1. 安装脚本：wget https://raw.githubusercontent.com/jgmdev/ddos-deflate/master/ddos-deflate.sh

  2. 配置阈值（如MAX_CONNECTIONS=100）：vi /etc/ddos-deflate.conf

  3. 启动服务：sh ddos-deflate.sh start

• 检测原理：

  • 通过netstat监控各 IP 连接数，超过阈值则用iptables封禁 IP。

• 日志查看：tail -f /var/log/ddos-deflate.log，查看被封禁的 IP 和原因。

2. Web 服务日志分析（Nginx/Apache）

• 异常请求检测：

  bash

  # Nginx日志中找高频访问IPgrep '2023-06-13' access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -10
  

   

• 攻击特征：

  • 单一 IP 短时间内发起 1000 + 次请求（CC 攻击）。

  • 请求路径异常（如大量访问不存在的 URL）。

3. fail2ban：暴力破解与 DDoS 联动检测

• 配置优化：

  bash

  vi /etc/fail2ban/jail.conf[nginx-http-auth]maxretry = 20        # 调整失败次数阈值findtime = 60s       # 缩短检测时间窗口
  

   

• 检测效果：

  • 实时监控 SSH、Web 等服务日志，自动封禁高频攻击 IP。

四、高级流量分析与告警系统

1. Prometheus+Grafana：可视化监控与告警

• 关键指标配置：

  • node_network_transmit_bytes：出站流量阈值（如超过服务器带宽 80% 时告警）。

  • tcp_connections：总连接数超过 10000 时触发告警。

• Grafana 仪表盘示例：

  • 绘制 “各 IP 连接数 TOP10” 图表，实时显示异常 IP。

2. MTR/Traceroute：网络路径异常检测

• 功能：检测是否存在流量劫持或异常路由（DDoS 牵引后的路径验证）。

• 命令示例：

  bash

  mtr -n 8.8.8.8  # 查看到谷歌DNS的路由是否稳定
  

   

• 异常判断：

  • 某一跳延迟突然升高（如超过 500ms），可能为攻击导致网络拥塞。

五、贵州服务器专属检测建议

1. 结合 BGP 网络监控：

   • 使用bgpq3或机房提供的 BGP 监控工具，查看路由表是否有异常流量牵引（如贵州本地 BGP 节点流量突然激增）。

2. IDC 机房联动检测：

   • 联系贵州 IDC 机房（如贵安新区数据中心）获取流量清洗日志，确认是否触发机房级抗 D 设备。

3. 地域 IP 分析：

   • 用geoiplookup分析攻击 IP 地域，若大量来自非游戏用户集中地区（如海外），可能为 DDoS 攻击。

     bash

     apt-get install geoip-database geoip-bin
     geoiplookup 1.1.1.1
     

      

六、应急检测流程（实战步骤）

1. 第一步：快速判断是否遭攻击

   bash

   # 1. 查看带宽nload eth0# 2. 查看连接数netstat -an | wc -l# 3. 查看异常IPnetstat -an | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
   

   
   

    

2. 第二步：定位攻击类型

   • 若带宽占满：可能为 UDP/ICMP Flood。

   • 若连接数爆增：可能为 SYN Flood 或 CC 攻击。

3. 第三步：启动应急检测工具

   bash

   tcpdump -i eth0 -c 1000 -w attack.pcap  # 抓包保存分析ddos-deflate.sh manual  # 手动触发一次检测封禁
   

   
   

    

通过以上工具和方法，可在 Linux 系统中实时检测 DDoS 攻击，并结合贵州服务器的网络环境快速定位问题，为后续防御（如流量牵引、IP 封禁）提供数据支撑。建议将检测命令写成 Shell 脚本，定时执行并发送告警邮件，提升响应效率。

（声明：本文来源于网络，仅供参考阅读，涉及侵权请联系我们删除、不代表任何立场以及观点。）