检测私服是否被SYN攻击的方法（一）

中毒太深

检测[url=http://www.52wpe.net]私服[/url]是否被SYN攻击的方法非常的简单，我们可以随时的使用这个检测的方法来对我们[url=http://www.52wpe.net]私服[/url]的安全进行检测！比如当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。

检测的方法我们使用系统自带的netstat 工具来检测SYN攻击：

　　# netstat -n -p TCP
　　tcp　0　 0 10.11.11.11:23　　124.173.152.8:25882　 SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　236.15.133.204:2577　 SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　127.160.6.129:51748　 SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　222.220.13.25:47393　 SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　212.200.204.182:60427 SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　232.115.18.38:278　　 SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　239.116.95.96:5122　　SYN_RECV　-
　　tcp　0　 0 10.11.11.11:23　　236.219.139.207:49162 SYN_RECV　-
　　...

　　上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态）,源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击.

　　我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数：

　　＃netstat -n -p TCP 　 grep SYN_RECV 　 grep :22 　 wc -l
　　324

如果使用这种方法对自己的[url=http://www.52wpe.net]私服[/url]进行检测时都出现了在上面的这种类似的显示，如第二个例子中显示TCP端囗22的未连接数有324个，虽然说这个未连接数还远没达到系统的上限，但这里也应该引起[url=http://www.52wpe.net]私服[/url]管理员的注意了！再比如第一个方法中显示出来的数据，这样的显示就基本可以断定自己的[url=http://www.52wpe.net]私服[/url]已经被攻击了！所以说平时没事的我们就要使用这两中方法来对自己的[url=http://www.52wpe.net]私服[/url]进行一下检测，可以让我们在第一时间发现这些攻击并做出处理！