如何判断服务器是否被攻击_确定服务器是否被攻击

hacker|
136

如何快速判断服务器是否遭受CC攻击?

CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受CC攻击呢?可以通过以下三个 *** 来确定。

1、命令行法

一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象,因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令netstat-an来查看,SYN_RECEIVED是TCP连接状态标志,意思是正在处于连接的初始同步状态,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的 *** IP的攻击。

2、批处理法

上述 *** 需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,可以建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。

脚本筛选出当前所有的到80端口的连接。当感觉服务器异常时就可以双击运行该批处理文件,然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接,那就基本可以确定该IP正在对服务器进行CC攻击。

3、查看系统日志

web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下,web日志记录的项并不是很多,可以通过IIs进行设置,让web日志记录更多的项以便进行安全分析。其操作步骤是:开始-管理工具打开Internet信息服务器,展开左侧的项定位到相应的Web站点,然后右键点击选择属性打开站点属性窗口,在网站选项卡下点击属性按钮,在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性,以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的,但在记录判断CC攻击中是非常有用的,可以勾选。另外,如果你对安全的要求比较高,可以在常规选项卡下对新日志计划进行设置,让其每小时或者每一天进行记录。为了方便日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。

怎么判断服务器是否被DDoS恶意攻击?

怀疑遇到攻击情况,首先要看看服务器上面的情况,首先top一下,看看服务器负载,如果负载不高,那么基本可以判断不是cc类型的攻击,再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下 *** 连接的情况,会得到下面这些结果:

TCP/IP协议使用三次握手来建立连接,过程如下:

1、之一次握手,客户端发送数据包syn到服务器,并进入SYN_SEND状态,等待回复

2、第二次握手,服务器发送数据报syn/ack,给客户机,并进入SYN_RECV状态,等待回复

3、第三次握手,客户端发送数据包ACK给客户机,发送完成后,客户端和服务器进入ESTABLISHED状态,链接建立完成

如果ESTABLISHED非常地高,那么可能是有人在恶意攻击,进一步判断,可以把下面命令保存为脚本执行一下:

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/evilip

done

如果输出了多个结果,那么可能表示有人在企图进行DDOS攻击,想用TCP连接来拖死你的服务器,输出的ip就是发出请求的服务器地址,并且保存在了/tmp/evilip里面。如果没有结果,可以调整一下阈值,把50改成40试一试,对策我们后面再说,这里只讲判断。如果SYN_RECV非常高,那么表示受到了SYN洪水攻击。

SYN洪水是利用TCP/IP协议的设计缺陷来进行攻击的,采用一些策略以及配置可以适当的降低攻击的影响,但并不能完全消除。

sysctl -w net.ipv4.tcp_syncookies=1

sysctl -w net.ipv4.tcp_syn_retries = 0

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

tcp_syncookies设置为1表示启用syncookie,可以大大降低SYN攻击的影响,但是会带来新的安全缺陷。

tcp_syn_retries 表示syn重试次数,重传次数设置为0,只要收不到客户端的响应,立即丢弃该连接,默认设置为5次。

tcp_max_syn_backlog表示syn等待队列,改小这个值,使得SYN等待队列变短,减少对系统以及 *** 资源的占用。

TCP连接攻击算是比较古老的了,防御起来也相对比较简单,主要是利用大量的TCP连接来消耗系统的 *** 资源,通常同一个IP会建立数量比较大的TCP连接,并且一直保持。应对 *** 也比较简单,可以将以下命令保存为脚本,定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/banip

/ *** in/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息,方面进行反渗透以及证据保存等等。为了更好地加固系统,我们可以使用iptables来限制一下,单个ip的更大连接数。

当攻击者的资源非常的多,上面这些 *** 限制可能就没有什么防护效果了,面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了,一般来说多机负载的成本可能更高,所以大部分人还是选择墨者高防硬防产品来防御。

如何看Linux服务器是否被攻击?

以下几种 *** 检测linux服务器是否被攻击:\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手,查看一下passwd文件,ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程,看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程:ps _aef | grep inetd inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程,着重看inetd \x0d\x0a_s后面的内容。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件,那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep _v “^#”,输出的信息就是这台机器所开启的远程服务。 \x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\x0a4、检查 *** 连接和监听端口 \x0d\x0a输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。 \x0d\x0a输入netstat _rn,查看本机的路由、网关设置是否正确。 \x0d\x0a输入 ifconfig _a,查看网卡设置。 \x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\x0a统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现\x0d\x0asyslog被非法动过,那说明有重大的入侵事件。 \x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种 *** 。 \x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵 *** ,典型的RPC攻击就是通过这种方式。这种方式有一定的成功率,也就是说并不能\x0d\x0a100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core \x0d\x0a_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种 *** ,通常通过输入ls _l \x0d\x0a文件名来查询和比较文件,这种 *** 虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询,查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的 *** 也很多,这里不一一赘述,可以man \x0d\x0arpm来获得更多的格式。

如何判断自己的服务器是否被流量攻击?

酷酷云为您解答~

1、检查网站后台服务器发现大量无用的数据包;

2、服务器主机上有大量等待的TCP连接;

3、 *** 流量出现异常变化突然暴涨;

4、大量访问源地址是虚假的;

5、当发现Ping超时或丢包严重时,且同一交换机上的服务器也出现了问题,不能进行正常访问;

流量攻击如何防御?

1.扩充服务器带宽

服务器的 *** 带宽直接决定服务器承受攻击能力。所以在选购服务器时,可以加大服务器 *** 带宽。

2.使用硬件防火墙

部分硬件防火墙基于包过滤型防火墙修改为主,只在 *** 层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。

3.选用高性能设备

除了使用硬件防火墙。服务器、路由器、交换机等 *** 设备的安全性能也需要有所保证。

4.负载均衡

负载均衡建立在现有 *** 结构之上,它提供了一种廉价有效透明的 *** 扩展 *** 设备和服务器的带宽、增加吞吐量、加强 *** 数据处理能力、提高 *** 的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。

5.筛查系统漏洞

要定期筛查系统漏洞,及早发现系统漏洞,及时安装系统补丁。同时针对重要信息(如系统配置信息)做好备份。

6.限制特定的流量

如遇到流量异常时,应及时检查访问来源,并做适当的限制。以防止异常、恶意的流量来袭。主动保护网站安全。

7.选购高防服务器

高防服务器可以帮助网站拒绝服务攻击,而且高防服务器可以定时扫描现有的 *** 主节点,还可查找可能存在的安全漏洞的服务器类型∞

酷酷云服务器为您诚意解答,服务器租户的选择,酷酷云值得信赖。

如何查看服务器是否被ddos攻击?

ddos攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力。ddos的攻击方式有很多种,最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

之一,宽带被占用,宽带占用资源,一般是ddos攻击中最重要的一个手段。毕竟对于中小型企业来讲,能够享受到的宽带资源还是很有限的。Ddos攻击之后,宽带资源被占据,正常的流量很难满足服务器运行需求。如果你的服务器宽带占用比率为百分之九十的话,很有可能是遭受到ddos攻击了。

第二,连接不到服务器,一旦网站被ddos攻击之时,是会造成电脑死机或者是蓝屏的。这就代表着你使用的电脑服务器连接不成功。服务器连接不成功或者是连接出现错误的话,服务器能不能出现故障等问题,在进行服务器连接的同时,做好相关防御。

第三,内存被大量占用,如何查看服务器是否被ddos攻击,这一点是最重要的。Ddos攻击本身就是在恶意导致资源被占用。攻击者们利用攻击软件,针对服务器发送大量的垃圾请求。最后导致服务器被大量的所占用。因为正常网站进程,不能得到有效的处理,而且还会出现缓慢打开情况。就会出现服务器内存被大量的占据。

防御ddos攻击的 *** 可以使用蔚可云的ddos云清洗功能

0条大神的评论

发表评论