Linux Netstat：如何知道它是否'；s人类或机器人/蜘蛛/DDOS

我使用下面的命令来检查一个ip有多少连接

netstat -anp |grep ':80' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

如果是DDOS攻击（500多个连接），则很容易检测到。但在任何给定时间，我仍然有来自单个Ip的60-100个连接。它是人类还是某种机器人/蜘蛛

这就是我目前拥有的（排名前6）

---

此服务器用于动态内容。（Apache2，保持关闭状态）

当NAT存在于互联网中时，您无法发现这一点。如果您有web服务器，并且您的单个页面由约50个元素（css文件、图片、其他元素）组成，则您可以从单个IP（如果没有NAT）获得约50个会话，只需单击即可生成浏览器。

您的问题可能是您的HTTP服务器未配置为支持keepalive！首先要配置它

如果未配置keepalive，浏览器将为页面中的每个元素打开一个到服务器的连接。使用keepalive，它只为多个元素打开一个，具体取决于keepalive的配置方式

也可以考虑使用缓存指令：静态内容不需要每次下载。

---

如果使用Apache，则由内核（对于keepalive）完成，mod_过期（对于缓存指令）。如果你想要一个高性能的网站，Keepalive和mod_expires是两个最重要的配置。

有趣的问题，但我不知道这与编程有什么关系。也许更适合？如果你看到一个IP地址有500多个连接，那肯定是“DoS”而不是“DDoS”。我使用的是mod_expires。Keepalive适用于静态内容。。。我那里的图像很少，在我的例子中，使用keepalive会降低性能。如果没有图像，性能会降低。我有另一个服务器，用于使用keepalive（nginx）的静态内容。啊，好的。你在最初的帖子里没有这么说！是否还要重新编辑和评论您的设置？还有，这真的应该是服务器故障吗？可能会重新打开，但我只显示了前6个IP。大多数具有1-6个连接。

48 217.212.230.***
54 46.63.105.***
55 62.235.175.***
56 79.235.188.***
60 178.27.93.***
63 31.16.96.***