您的位置 首页 IDC行业资讯

VPS/Server 被 DDOS 攻击的迹象

一、DoS攻击的定义

DoS 攻击是对网络的一种攻击形式,利用未使用的带宽流量阻塞网络,此外,DoS 还会攻击应用程序和系统资源,导致系统无法为用户服务。

二、基本 DoS 攻击

1、 TCP/SYN 泛洪

第一步:客户端发送一个TCP SYN包到服务器的服务端口

客户端 -> SYN 数据包 -> 服务器

步骤2:服务器将向客户端响应1个SYN/ACK数据包,并等待接收来自客户端的ACK数据包。

服务器 -> SYN/ACK 数据包 -> 客户端

Step 3:Client向Server回应ACK报文,连接完成,Client与Server进行数据交换。

客户端 -> ACK 数据包 -> 服务器

如果黑客通过向服务器的服务端口发送大量 TCP SYN 数据包来执行 SYN Flooding,服务器将过载,无法再响应。

2、HTTP Get 或 Post 泛洪

Http Flood是一种不使用篡改或篡改的数据包,而是直接攻击Web服务器或应用程序的攻击类型。Http Flood 攻击旨在使 Web 服务器分配最大的资源,从而导致崩溃或降低应用程序的速度。

三、DoS 攻击检测

基于以上知识识别DoS攻击的第一个迹象是客户的服务器突然负载高,所有服务器处理速度慢,访问服务困难,客户可以尝试以下方法来检测DoS攻击:

– 使用top -c命令识别资源密集型用户(对于cpanel服务器,或者基于用户配置vhost的服务器),继续访问对应vhost的访问日志,确定ip many访问。

例如:

183.80.63.252 – – [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1” 403 301 “-”“Mozilla/4.0(兼容;MSIE 6.0;Windows NT ) 5.1;.NET CLR 1.0.3705)”

183.80.63.252 – – [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1” 403 301 “-”“Mozilla/4.0(兼容;MSIE 6.0;Windows NT ) 5.1;.NET CLR 1.0.3705)”

183.80.63.252 – – [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1” 403 301 “-”“Mozilla/4.0(兼容;MSIE 6.0;Windows NT ) 5.1;.NET CLR 1.0.3705)”

183.80.63.252 – – [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1” 404 297 “-”“Mozilla/4.0(兼容;MSIE 6.0;Windows NT ) 5.1;.NET CLR 1.0.3705)”

183.80.63.252 – – [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1” 403 301 “-”“Mozilla/4.0(兼容;MSIE 6.0;Windows NT ) 5.1;.NET CLR 1.0.3705)”

有了上面的日志,客户可以确定DoS IP,客户可以在同一个位置被攻击,但是很多不同的ip,客户要注意user-agent,避免与成功的ip掌握混淆。

Mozilla/4.0(兼容;MSIE 6.0;Windows NT 5.1;.NET CLR 1.0.3705)

– 使用命令“netstat -anp |grep ‘tcp\|udp’ | awk ‘{打印 $5}’ | 切-d:-f1 | 排序 | 唯一的-c | sort -n”获取连接到服务器的ip列表,或“netstat -n | grep :80 |wc -l” 获取到端口 80 的连接数,或命令“netstat -n | grep :80 | grep SYN |wc -l” 获取 SYN 状态下到端口 80 的连接数。客户必须根据返回的参数,与每日流量和服务器状态进行比较,以确定服务器是否处于 DDoS 之下。

热门文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注