被攻击表现

1.cpu爆满，卡顿

2.网络流入流出流量异常

3.服务器连接不上，网络异常

排查步骤

a.检测syn攻击

netstat -n -p -t

LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击

b.查看单个ip连接数

netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r -n

1

如果某个ip连接数非常多，上百的这种，有可能是异常，另外可以查看某个端口的占用情况，发现很多连接的话，那么也有可能这个端口被攻击了

查看80端口活跃连接

netstat -n | grep 80 |wc -l

查看80端口占用

netstat -anp|grep 80

c.增加策略

只是同一个ip攻击的时候，屏蔽一个IP

iptables -I INPUT -s 192.168.10.99 -j DROP

防止ping，屏蔽ICMP就行了

iptables -A INPUT -p icmp -j DROP