1. 定位外部攻击的步骤
定位外部攻击需要结合多种工具和日志分析。以下是常见的步骤和方法:
1.1 使用 iftop 工具分析流量
iftop 是一个实时的流量监控工具,它可以帮助我们查看网络中的数据流量和活动连接。通过 iftop,你可以观察到源 IP 和目的 IP 地址,以及它们的连接状态。
-
操作步骤:
- 运行
iftop:sudo iftop - 查看源 IP 地址。通过观察流量模式,尤其是大量来自单一 IP 或某个 IP 段的连接,通常可以初步判断是否有异常流量。
- 使用
iftop的筛选功能,如-F选项,来过滤特定源 IP:sudo iftop -F "src 117.68.74.0/24"
如果你发现大量来自某个 IP 段(例如
117.68.74.0/24)的流量,且这些连接看起来异常(例如端口数量过多、流量波动等),很有可能是外部攻击。 - 运行
1.2 查看系统日志
系统日志通常可以提供有关入侵的关键线索。通过检查操作系统和防火墙的日志,你可以找出异常的请求或访问模式。
- 日志文件路径:
