在Linux系统中对CC攻击进行排查的方法

1.首先，在Linux命令行中使用netstat命令，查看所有80端口的连接数；

netstat -nat|grep -i “80”|wc -l

2.80端口的连接数查看到后，使用以下命令行对连接的IP进行排序；

netstat -ntu | awk ‘{print $5}’ | cut -d： -f1 | sort | uniq -c | sort -n

3.IP排序号后，查找出连接数最多的20个IP；

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F： ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/：80/{split（$5，ip，“：”）;++A［ip［1］］}END{for（i in A） print A，i}’ |sort -rn|head -n20

4.最后，使用tcpdump命令对IP进行判断，即可；

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F“。” ‘{print $1“。”$2“。”$3“。”$4}’ | sort | uniq -c | sort -nr |head -20