linux系统会不会受到攻击？

当然会，所谓重大的黑客案子，一般都是linux或unix服务器被攻击。
防火墙嘛，系统是自带的，当然，为了安全，也可以安装别的，但是一般情况下是没有必要的。
现在linux出了防火墙以外，还提供SELinux，基本上已经足够了。
对于linux来说，作为服务器一般都是只提供某一项服务，而不会同时提供多项服务。例如如果一台机器是做为邮件服务器的，那么它一般不会提供>Linux syn攻击是一种黑客攻击，如何处理和减少这种攻击是系统管理员比较重要的工作，怎么才能出色的完成这项工作，希望通过本文能给你一启发，让你在以后工作中能轻松完成抵御Linux syn攻击的任务。
虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。
抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。
Linux内核提供了若干SYN相关的配置，用命令： sysctl -a | grep syn 看到：
netipv4tcp_max_syn_backlog = 1024 netipv4tcp_syncookies = 0
netipv4tcp_synack_retries = 5 netipv4tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度，tcp_syncookies是一个开关，是否打开SYN Cookie 功能，该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN 的重试次数。加大SYN队列长度可以容纳更多等待连接的网络连接数，打开SYN Cookie功能可以阻止部分 SYN攻击，降低重试次数也有一定效果。
调整上述设置的方法是：
增加SYN队列长度到2048：
sysctl -w netipv4tcp_max_syn_backlog=2048
打开SYN COOKIE功能：
sysctl -w netipv4tcp_syncookies=1
降低重试次数：
sysctl -w netipv4tcp_synack_retries=3 sysctl -w netipv4tcp_syn_retries=3
为了系统重启动时保持上述配置，可将上述命令加入到/etc/rcd/rclocal文件中。
防止同步包洪水（Sync Flood）
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人写作
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改
防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击（Ping of Death）
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
到这里Linux syn攻击问题的处理就可以解决了。

用途

tcpdump简义：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

语法

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>]

[-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

参数说明：>还没解决么？你这么不清不楚地提问，再问十遍恐怕也没人能答得上来。
“经常掉线”指的是服务器还是客户机掉线？
如果是服务器掉线，服务器是双网卡还是多ip？是服务器内外网端口都掉线还是某一个端口掉线？服务器、交换机最近有没有做过什么设置或安装什么软件？
如果什么都没变动过就突然出现这样的故障，且排除服务器、交换机的硬件故障，很可能是局域网内有攻击行为，查看一下你的服务器日志就知道是不是被攻击了，看不懂日志的话就安装个mrtg或者其他的什么网络监测工具。不过这种情况90%都是内网机器中了arp病毒，bg一下“局域网 arp 解决办法”，文章大把大把的。
你上次说“是一个学校，光纤接入，光纤接网关，再接交换机”。
我不得不说这种做法太不严肃了，想省钱就是多找事儿，还是找教委计算中心领一台内置防火墙的路由器吧。

一些基础命令你要理解。由于CC主要是针对80端口，你就可以去查看80端口的一些情况来分析
查看所有80端口的连接数
netstat -nat|grep -i “80”|wc -l
对连接的IP按连接数量进行排序
netstat -ntu | awk ‘{print $5}’ | cut -d： -f1 | sort | uniq -c | sort -n
查看TCP连接状态
netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn
netstat -n | awk ‘/^tcp/ {++S［$NF］};END {for（a in S） print a， S［a］}’
netstat -n | awk ‘/^tcp/ {++state［$NF］}; END {for（key in state） print key，“\t”，state［key］}’
netstat -n | awk ‘/^tcp/ {++arr［$NF］};END {for（k in arr） print k，“\t”，arr［k］}’
netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn
netstat -ant | awk ‘{print $NF}’ | grep -v ‘［a-z］’ | sort | uniq -c
查看80端口连接数最多的20个IP
netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F： ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/：80/{split（$5，ip，“：”）;++A［ip［1］］}END{for（i in A） print A，i}’ |sort -rn|head -n20
用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F“。” ‘{print $1“。”$2“。”$3“。”$4}’ | sort | uniq -c | sort -nr |head -20
查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20
查找较多的SYN连接
netstat -an | grep SYN | awk ‘{print $5}’ | awk -F： ‘{print $1}’ | sort | uniq -c | sort -nr | more
找出几个大流量的IP，可以先把他们封掉，等30分钟后再解封看看
封单个IP的命令是：
iptables -I INPUT -s 211100 -j DROP
封IP段的命令是：
iptables -I INPUT -s 211100/16 -j DROP
iptables -I INPUT -s 211200/16 -j DROP
iptables -I INPUT -s 211300/16 -j DROP
封整个段的命令是：
iptables -I INPUT -s 211000/8 -j DROP
封几个段的命令是：
iptables -I INPUT -s 6137800/24 -j DROP
iptables -I INPUT -s 6137810/24 -j DROP

---