ddos攻击服务器会显示什么？怎么判断服务器是否被DDoS恶意攻击？_服务器安全

ddos攻击服务器会显示什么？怎么判断服务器是否被DDoS恶意攻击？

2022-02-16 23:40Unknownlemon 服务器安全

前几天一个朋友的网站突然打不开了，怀疑被DDoS攻击叫我帮忙看一下，经过诊断发现，可能是有人使用作弊手段刷广告，导致流量暴增，服务器机房的人以为被DDoS攻击了赶紧黑洞了服务器，导致网站打不开了。那小编是如何判断服

前几天一个朋友的网站突然打不开了，怀疑被DDoS攻击叫我帮忙看一下，经过诊断发现，可能是有人使用作弊手段刷广告，导致流量暴增，服务器机房的人以为被DDoS攻击了赶紧黑洞了服务器，导致网站打不开了。那小编是如何判断服务器是否被DDoS恶意攻击呢?

ddos攻击服务器会显示什么？怎么判断服务器是否被DDoS恶意攻击？

诊断

遇到怀疑攻击情况，首先要看看服务器上面的情况，首先top一下，看看服务器负载，如果负载不高，那么基本可以判断不是cc类型的攻击，再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下网络连接的情况，会得到下面这些结果：

ddos攻击服务器会显示什么？怎么判断服务器是否被DDoS恶意攻击？

TCP/IP协议使用三次握手来建立连接，过程如下：

1、第一次握手，客户端发送数据包syn到服务器，并进入SYN_SEND状态，等待回复

2、第二次握手，服务器发送数据报syn/ack，给客户机，并进入SYN_RECV状态，等待回复

3、第三次握手，客户端发送数据包ACK给客户机，发送完成后，客户端和服务器进入ESTABLISHED状态，链接建立完成

如果ESTABLISHED非常地高，那么可能是有人在恶意攻击，进一步判断，可以把下面命令保存为脚本执行一下：

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 50) {print $2}}'`

do

echo $i

echo $i >> /tmp/evilip

done

如果输出了多个结果，那么可能表示有人在企图进行DDOS攻击，想用TCP连接来拖死你的服务器，输出的ip就是发出请求的服务器地址，并且保存在了/tmp/evilip里面。如果没有结果，可以调整一下阈值，把50改成40试一试，对策我们后面再说，这里只讲判断。

如果SYN_RECV非常高，那么表示受到了SYN洪水攻击。

如果上面的值看不出什么异常的话，我们来抓包分析下，可能并非基于TCP的攻击。抓包命令：

tcpdump -w tmp.pcap port not 22

抓包感觉差不多了就ctrl+c结束，结果在保存在当前目录下的tmp.pcap文件中，我们可以使用命令

tcpdump -r tmp.pcap -nnA

来查看，也可以拖回本地用wireshark打开分析等，个人喜好了。如果出现大量的ICMP包或者大量的UDP包，那么可能就是针对性的ICMP洪水以及UDP洪水了。

ddos攻击服务器会显示什么？怎么判断服务器是否被DDoS恶意攻击？

TCP连接攻击

TCP连接攻击算是比较古老的了，防御起来也相对比较简单，主要是利用大量的TCP连接来消耗系统的网络资源，通常同一个IP会建立数量比较大的TCP连接，并且一直保持。应对方法也比较简单，可以将以下命令保存为脚本，定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 50) {print $2}}'`

do

echo $i

echo $i >> /tmp/banip

/sbin/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息，方面进行反渗透以及证据保存等等。为了更好地加固系统，我们可以使用iptables来限制一下，单个ip的最大连接数。