在Linux下封停IP，有封杀网段和封杀单个IP两种形式。于是下面详细说明一下封杀单个IP的命令，和解封单个IP的命令。

在Linux下，使用ipteables来维护IP规则表。要封停或者是解封IP，其实就是在IP规则表中对入站部分的规则进行添加操作。

今天就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁，首先Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOs攻击或者CC攻击时，如果攻击流量非常大，那只能通过专业的网络安全公司接入高防来防御了，但如果是小流量的攻击时，我们可以通过使用 iptables 来手动封禁这些攻击者的IP，从而达到防护效果。

前景

监控检测到服务器SYN_RECV状态连接较多，通过如下命令进行分析与获取攻击者 IP

# netstat -ant|awk /^tcp/{++S[$NF]} END{for(a in S) print(a,S[a])}# netstat -anlp|grep 80|grep tcp|awk {print $5}|awk -F: {print $1}|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk /:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i} |sort -rn|head -n20