服务器被ddos怎么查出攻击者ip-判断服务器被攻击

如何辨别是否是网络DDoS攻击？

1、服务器连接不到，网站也打不开

如果网站服务器被大量DDoS攻击时，有可能会造成服务器蓝屏或者死机，这时就意味着服务器已经连接不上了，网站出现连接错误的情况。

2、服务器CPU被大量占用

DDoS攻击其实是一种恶意性的资源占用攻击，攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，这样网站就会出现打开缓慢的情况。如果服务器某段时期能突然出现CPU占用率过高，那么就可能是网站受到CC攻击影响。

3、服务器带宽被大量占用

占用带宽资源通常是DDoS攻击的一个主要手段，毕竟对很多小型企业或者个人网站来说，带宽的资源可以说非常有限，网络的带宽被大量无效数据给占据时，正常流量数据请求很很难被服务器进行处理。如果服务器上行带宽占用率达到90%以上时，那么你的网站通常出现被DDoS攻击的可能。

4、域名ping不出IP

域名ping不出IP这种情况站长们可能会比较少考虑到，这其实也是DDoS攻击的一种表现，只是攻击着所针对的攻击目标是网站的DNS域名服务器。在出现这种攻击时，ping服务器的IP是正常联通的，但是网站就是不能正常打开，并且在ping域名时会出现无法正常ping通的情况。

如果经常发生DDoS攻击，对于网站来说是比较危险的，因此要重视DDOS攻击。防御DDoS攻击，可以使用安全狗来防护。

如何看Linux服务器是否被攻击？

以下几种方法检测linux服务器是否被攻击：\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程，看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程，着重看inetd \x0d\x0a_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 \x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\x0a4、检查网络连接和监听端口 \x0d\x0a输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 \x0d\x0a输入netstat _rn，查看本机的路由、网关设置是否正确。 \x0d\x0a输入 ifconfig _a，查看网卡设置。 \x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\x0a统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现\x0d\x0asyslog被非法动过，那说明有重大的入侵事件。 \x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 \x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能\x0d\x0a100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core \x0d\x0a_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种方法，通常通过输入ls _l \x0d\x0a文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man \x0d\x0arpm来获得更多的格式。

怎么判断服务器是否被DDoS恶意攻击？

怀疑遇到攻击情况，首先要看看服务器上面的情况，首先top一下，看看服务器负载，如果负载不高，那么基本可以判断不是cc类型的攻击，再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下网络连接的情况，会得到下面这些结果：

TCP/IP协议使用三次握手来建立连接，过程如下：

1、第一次握手，客户端发送数据包syn到服务器，并进入SYN_SEND状态，等待回复

2、第二次握手，服务器发送数据报syn/ack，给客户机，并进入SYN_RECV状态，等待回复

3、第三次握手，客户端发送数据包ACK给客户机，发送完成后，客户端和服务器进入ESTABLISHED状态，链接建立完成

如果ESTABLISHED非常地高，那么可能是有人在恶意攻击，进一步判断，可以把下面命令保存为脚本执行一下：

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/evilip

done

如果输出了多个结果，那么可能表示有人在企图进行DDOS攻击，想用TCP连接来拖死你的服务器，输出的ip就是发出请求的服务器地址，并且保存在了/tmp/evilip里面。如果没有结果，可以调整一下阈值，把50改成40试一试，对策我们后面再说，这里只讲判断。如果SYN_RECV非常高，那么表示受到了SYN洪水攻击。

SYN洪水是利用TCP/IP协议的设计缺陷来进行攻击的，采用一些策略以及配置可以适当的降低攻击的影响，但并不能完全消除。

sysctl -w net.ipv4.tcp_syncookies=1

sysctl -w net.ipv4.tcp_syn_retries = 0

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

tcp_syncookies设置为1表示启用syncookie，可以大大降低SYN攻击的影响，但是会带来新的安全缺陷。

tcp_syn_retries 表示syn重试次数，重传次数设置为0，只要收不到客户端的响应，立即丢弃该连接，默认设置为5次。

tcp_max_syn_backlog表示syn等待队列，改小这个值，使得SYN等待队列变短，减少对系统以及网络资源的占用。

TCP连接攻击算是比较古老的了，防御起来也相对比较简单，主要是利用大量的TCP连接来消耗系统的网络资源，通常同一个IP会建立数量比较大的TCP连接，并且一直保持。应对方法也比较简单，可以将以下命令保存为脚本，定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/banip

/sbin/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息，方面进行反渗透以及证据保存等等。为了更好地加固系统，我们可以使用iptables来限制一下，单个ip的最大连接数。

当攻击者的资源非常的多，上面这些方法限制可能就没有什么防护效果了，面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了，一般来说多机负载的成本可能更高，所以大部分人还是选择墨者高防硬防产品来防御。

如何判断自己的服务器是否被流量攻击？

酷酷云为您解答~

1、检查网站后台服务器发现大量无用的数据包；

2、服务器主机上有大量等待的TCP连接；

3、网络流量出现异常变化突然暴涨；

4、大量访问源地址是虚假的；

5、当发现Ping超时或丢包严重时，且同一交换机上的服务器也出现了问题，不能进行正常访问；

流量攻击如何防御？

1.扩充服务器带宽

服务器的网络带宽直接决定服务器承受攻击能力。所以在选购服务器时，可以加大服务器网络带宽。

2.使用硬件防火墙

部分硬件防火墙基于包过滤型防火墙修改为主，只在网络层检查数据包，若是DDoS攻击上升到应用层，防御能力就比较弱了。

3.选用高性能设备

除了使用硬件防火墙。服务器、路由器、交换机等网络设备的安全性能也需要有所保证。

4.负载均衡

负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性，对DDoS流量攻击和CC攻击都很见效。

5.筛查系统漏洞

要定期筛查系统漏洞，及早发现系统漏洞，及时安装系统补丁。同时针对重要信息（如系统配置信息）做好备份。

6.限制特定的流量

如遇到流量异常时，应及时检查访问来源，并做适当的限制。以防止异常、恶意的流量来袭。主动保护网站安全。

7.选购高防服务器

高防服务器可以帮助网站拒绝服务攻击，而且高防服务器可以定时扫描现有的网络主节点，还可查找可能存在的安全漏洞的服务器类型∞

酷酷云服务器为您诚意解答，服务器租户的选择，酷酷云值得信赖。

如何查看服务器是否被攻击

netstat

-anp

grep

'tcp\udp'

awk

'{print

$5}'

cut

-d:

-f1

sort

uniq

-c

sort

–n

该命令将显示已登录的是连接到服务器的最大数量的IP的列表。

DDOS变得更为复杂，因为攻击者在使用更少的连接，更多数量IP的攻击服务器的情况下，你得到的连接数量较少，即使你的服务器被攻击了。有一点很重要，你应该检查当前你的服务器活跃的连接信息，执行以下命令：

netstat

-n

grep

:80

wc

–l

如何查看服务器是否被ddos攻击？

ddos攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。ddos的攻击方式有很多种，最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

第一，宽带被占用，宽带占用资源，一般是ddos攻击中最重要的一个手段。毕竟对于中小型企业来讲，能够享受到的宽带资源还是很有限的。Ddos攻击之后，宽带资源被占据，正常的流量很难满足服务器运行需求。如果你的服务器宽带占用比率为百分之九十的话，很有可能是遭受到ddos攻击了。

第二，连接不到服务器，一旦网站被ddos攻击之时，是会造成电脑死机或者是蓝屏的。这就代表着你使用的电脑服务器连接不成功。服务器连接不成功或者是连接出现错误的话，服务器能不能出现故障等问题，在进行服务器连接的同时，做好相关防御。

第三，内存被大量占用，如何查看服务器是否被ddos攻击，这一点是最重要的。Ddos攻击本身就是在恶意导致资源被占用。攻击者们利用攻击软件，针对服务器发送大量的垃圾请求。最后导致服务器被大量的所占用。因为正常网站进程，不能得到有效的处理，而且还会出现缓慢打开情况。就会出现服务器内存被大量的占据。

防御ddos攻击的方法可以使用蔚可云的ddos云清洗功能