如果使用linux iptables做防火墙,可以考虑用下面这个脚本迅速确定到底哪个ip的流量不正常。
脚本内容如下:
#!/bin/sh
#edit by iamshiyu
cat /proc/net/ip_conntrack > 1.log
cat 1.log | grep "udp" | awk '{print $4 " " $1}' > 2.log
cat 1.log | grep "tcp" | awk '{print $5 " " $1}' >> 2.log
cat 2.log | sort -b -d| uniq -c
echo "Now server have `cat 1.log|wc -l` session!"
主要用来看当前1秒钟内,每个ip出现了多少个tcp连接和udp请求,如果数字达到100以上(尤其是tcp连接数),基本可以判断该ip正在用讯雷或者BT了。