DDOS使用命令netstat手动缓解。如何确定真正的攻击者？

Question

当我的服务器运行缓慢时，有人告诉我运行这个命令，并检查是否有人请求SYN_RECV来减慢我的服务器速度：

netstat -npt  | grep SYN_RECV | awk '{print $5}' | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head | tee -a $REPORT_FILE 

输出示例：

Single attack IP - DOS:
  262 187.7.214.146
  1   95.90.250.96
  1   83.215.15.150
  1   203.160.112.239
  1   124.197.39.213

Multiple attack IPs - DDOS:  
  316 187.7.214.146
  94  187.7.214.96
  44  187.7.214.150
  90  203.160.112.239
  22  203.160.112.222

我在某个地方读到，如果一个IP的SYN_RECV请求数超过4个，那么就考虑进行SYN洪流攻击(DOS)。我有几个问题：

1)当使用netstat命令时，我们可以声明IP(DOS)或IP (DDOS)进行攻击的确切数字是多少？如果IP与SYN_RECV状态连接，这是否意味着他正在进行SYN洪水攻击？会是假旗子吗？

2) SYN_RECV是DDOS攻击者使用的唯一侦听状态吗？既成事实呢？我很困惑，因为其他文章说，如果一些外国if与已建立的状态相关联，那么我的服务器就会受到攻击。什么样的攻击

3)我问这个问题是因为我想制作一个简单的bash脚本，如果IP是攻击者，并且告诉我使用SYN_RECV状态来评估攻击者，它可以手动报告。这是我们唯一能使用的状态吗？可以认为安全的SYN_RECV值的最小值是什么(不是DOS攻击者)？

希望我的问题是清楚的。如果有什么不清楚，请问我。

谢谢，我希望有人能回答这场噩梦。

Answer 1

1. 当ip地址(攻击者)向服务器发送大量SYN数据包，然后将服务器设置为响应每个数据包并保持端口打开(准备接收响应)时，就会发生拒绝服务。您的服务器需要ACK数据包来正确地使用ACK数据包关闭响应，但是ACK数据包永远不会从攻击者那里到达，他会继续发送更多SYN数据包，这些数据包会在一定时间内打开更多的新端口连接，并最终填充所有减慢服务器速度的可用端口。因此，带有SYN_RECV请求的IP意味着他正在向您的服务器发送坏数据包，所以是的，这是一个DOS攻击，但对于这个数字4，它被认为是一个微小的DOS攻击，可能不会对拥有大量资源的服务器产生负面影响。
2. 因此，实际上有许多种类型的DOS或DDOS攻击，SYN_FLOOD只是一个流行的SYN洪水攻击的名称。
3. 在生产服务器上执行手动DDOS缓解是不好的。为此，您可以使用其他内置的自动化解决方案，如Suricata或cloudflare。

洪涝DDOS攻击-云耀斑