资讯列表 / DDOS攻击 / 怎么判断是否被DDoS恶意攻击_如何检测ddos攻击
怎么判断是否被DDoS恶意攻击_如何检测ddos攻击

3645

2023-05-22 11:57:01

  就目前的网络环境而言,网络攻击时有发生,怎么判断是否被DDoS恶意攻击呢?很多时候我们都会被这种恶意攻击所影响,但我们因为没能及时发现并解决而造成更大的损失。如何检测ddos攻击这就至关重要,今天就跟着快快网络小编一起来学习下吧。

  怎么判断是否被DDoS恶意攻击?

  怀疑遇到攻击情况,首先要看看服务器上面的情况,首先top一下,看看服务器负载,如果负载不高,那么基本可以判断不是cc类型的攻击,再输入命令netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'查看下网络连接的情况,会得到下面这些结果:TCP/IP协议使用三次握手来建立连接,过程如下:

  1、第一次握手,客户端发送数据包syn到服务器,并进入SYN_SEND状态,等待回复

  2、第二次握手,服务器发送数据报syn/ack,给客户机,并进入SYN_RECV状态,等待回复

  3、第三次握手,客户端发送数据包ACK给客户机,发送完成后,客户端和服务器进入ESTABLISHED状态,链接建立完成

  如果ESTABLISHED非常地高,那么可能是有人在恶意攻击,进一步判断,可以把下面命令保存为脚本执行一下:

  for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

  do

  echo $i

  echo $i /tmp/evilip

  done

  如果输出了多个结果,那么可能表示有人在企图进行DDOS攻击,想用TCP连接来拖死你的服务器,输出的ip就是发出请求的服务器地址,并且保存在了/tmp/evilip里面。如果没有结果,可以调整一下阈值,把50改成40试一试,对策我们后面再说,这里只讲判断。如果SYN_RECV非常高,那么表示受到了SYN洪水攻击。

  SYN洪水是利用TCP/IP协议的设计缺陷来进行攻击的,采用一些策略以及配置可以适当的降低攻击的影响,但并不能完全消除。

  tcp_syncookies设置为1表示启用syncookie,可以大大降低SYN攻击的影响,但是会带来新的安全缺陷。

  tcp_syn_retries 表示syn重试次数,重传次数设置为0,只要收不到客户端的响应,立即丢弃该连接,默认设置为5次。

  tcp_max_syn_backlog表示syn等待队列,改小这个值,使得SYN等待队列变短,减少对系统以及网络资源的占用。

  TCP连接攻击算是比较古老的了,防御起来也相对比较简单,主要是利用大量的TCP连接来消耗系统的网络资源,通常同一个IP会建立数量比较大的TCP连接,并且一直保持。应对方法也比较简单,可以将以下命令保存为脚本,定时ban掉那些傀儡机ip。

  banip文件里面记录了所有被ban的ip地址信息,方面进行反渗透以及证据保存等等。为了更好地加固系统,我们可以使用iptables来限制一下,单个ip的最大连接数。

  当攻击者的资源非常的多,上面这些方法限制可能就没有什么防护效果了,面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了,一般来说多机负载的成本可能更高,所以大部分人还是选择墨者高防硬防产品来防御。

怎么判断是否被DDoS恶意攻击

  如何查看服务器是否被ddos攻击?

  ddos攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力。ddos的攻击方式有很多种,最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

  第一,宽带被占用,宽带占用资源,一般是ddos攻击中最重要的一个手段。毕竟对于中小型企业来讲,能够享受到的宽带资源还是很有限的。Ddos攻击之后,宽带资源被占据,正常的流量很难满足服务器运行需求。如果你的服务器宽带占用比率为百分之九十的话,很有可能是遭受到ddos攻击了。

  第二,连接不到服务器,一旦网站被ddos攻击之时,是会造成电脑死机或者是蓝屏的。这就代表着你使用的电脑服务器连接不成功。服务器连接不成功或者是连接出现错误的话,服务器能不能出现故障等问题,在进行服务器连接的同时,做好相关防御。

  第三,内存被大量占用,如何查看服务器是否被ddos攻击,这一点是最重要的。Ddos攻击本身就是在恶意导致资源被占用。攻击者们利用攻击软件,针对服务器发送大量的垃圾请求。最后导致服务器被大量的所占用。因为正常网站进程,不能得到有效的处理,而且还会出现缓慢打开情况。就会出现服务器内存被大量的占据。

  如何检测ddos攻击

  要检测DDoS攻击程序的存在,可以有2种方法:

  1、通常,我们可以使用文件系统扫描工具来确定在服务器文件系统上是否存在已知的DDoS攻击程序。

  同病毒软件一样,每当有新的DDoS发明出来,当前的DDoS工具就将过时,或者它对现存的DDoS进行修改而避开检查。所以,要选择最近更新的扫描工具才能检测到最新的DDoS攻击程序。FBI提供了一个工具叫做"find_ddos",用于检测一些已知的拒绝服务工具,包括trinoo进程、trinoo主人、加强的tfn进程、tfn客户程序、tfn2k客户程序和tfn-rush客户程序。

  请注意,FBI的这个工具并不能保证捕获所有的DDoS工具。如果侵入者安装了一个根文件包,那么find_ddos程序就有可能无法处理它。

  2、还可使用手工方法对起源于本地网络中的DDoS活动进行双重检查。

  在Web服务器与Internet或者上游ISP连接之间的防火墙上建立一个滤波器,以寻找spoofed (哄骗)信息包,也就是那些不是从你自己的网络上生成的信息包。这就是所谓的出口过滤。如果在你的网络上正在生成spoofed信息包,那么这很可能是一个DDoS程序生成的。

  怎么判断是否被DDoS恶意攻击成为现在的必修课,很多时候被攻击是因为恶性竞争导致的,直接造成服务器瘫痪损失巨大。所以我们要在攻击发生之前就要做好防备,检测ddos攻击,以免造成更大的损失。