監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關閉

怎么判斷服務器被DDOs了,被攻擊的解決辦法

申請免費試用、咨詢電話:400-8352-114

    DDOS的表現(xiàn)形式主要有兩種,一種為流量攻擊,主要是針對網(wǎng)絡帶寬的攻擊,即大量攻擊包導致網(wǎng)絡帶寬 被阻塞,合法網(wǎng)絡包被虛假的攻擊包淹沒而無法到達主 機;另一種為資源耗盡攻擊,主要是針對服務器 主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網(wǎng)絡 服務。
   如何判斷網(wǎng)站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發(fā)現(xiàn)Ping超時或丟包嚴重(假定平 時是正常的),則可能遭受了流量攻擊,此時若發(fā)現(xiàn)和 你的主機接在同一交換機上的服務器也訪問不了了 ,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是你到服務器主機之間的ICMP協(xié)議沒有被路由 器和 防火墻等設備屏蔽,否則可采取Telnet主機服務器的網(wǎng)絡服務端口來測試,效果是一樣的。不過有 一點可以肯定,假如平時Ping你的主機服務器和接在同 一交換機上的主機服務器都是正常的,突然都 Ping不通了或者是嚴重丟包,那么假如可以排除網(wǎng)絡故障因素的話則肯定是遭受了流量攻擊,再一個流量 攻擊的典 型現(xiàn)象是,一旦遭受流量攻擊,會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務器會失敗。
          相對于流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網(wǎng)站主機和訪問網(wǎng)站都是 正常的,發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了,而Ping還 可以Ping通,則很可能遭受了資源耗盡攻 擊,此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài) 存在,而ESTABLISHED很少,則可判定肯定 是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是 ,Ping自己的網(wǎng)站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的 服務器則正常 ,造成這種原因是網(wǎng)站主機遭受攻擊后導致系統(tǒng)內核或某些應用程序CPU利用率達到100%無法回應Ping命 令,其實帶寬還是有的,否則就 Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDOS攻擊:
            1、SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統(tǒng)的網(wǎng)絡服 務,主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或 ACK(命令正確應答?)包,導致主機的 緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務,由于源都是偽造的故追蹤起來比較困難,缺點是實施 起來有一定難 度,需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問,但卻可以 Ping的通,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài),大量的這種攻擊會導 致Ping失敗、TCP/IP棧失效,并會出現(xiàn)系統(tǒng)凝固現(xiàn)象,即不響應鍵 盤和鼠標。普通防火墻大多無法抵御 此種攻擊。
           2、TCP全連接攻擊:這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的,一般情況下,常規(guī)防 火墻大多具備過濾TearDrop、Land等DOS攻擊 的能力,但對于正常的TCP連接是放過的,殊不知很多網(wǎng)絡 服務程序(如:IIS、Apache等Web服務器)能接受的TCP連接數(shù)是有限的,一旦有大量 的TCP連接,即便 是正常的,也會導致網(wǎng)站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機不斷地與受 害服務器建立大量的TCP連接,直 到服務器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊 的特點是可繞過一般防火墻的防護而達到攻擊目的,缺點是需要找很多僵尸主機,并且由于僵 尸主機的 IP是暴露的,因此容易被追蹤。
           3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用 MSSQLServer、 MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的,特征是和服務器建立正常的TCP連接 ,并不斷的向腳本程序提交查詢、列表等大量耗費數(shù) 據(jù)庫資源的調用,典型的以小博大的攻擊方法。一 般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務器為處理此請 求 卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數(shù)據(jù)庫服務 器很少能支持數(shù)百個查詢指令同時執(zhí)行,而這對于客戶端來說卻 是輕而易舉的,因此攻擊者只需通過 Proxy代理向主機服務器大量遞交查詢指令,只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務,常見 的現(xiàn)象就是網(wǎng)站慢 如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的 特點是可以完全繞過普通的防火墻防護,輕松找一些Proxy代理 就可實施攻擊,缺點是對付只有靜態(tài)頁面 的網(wǎng)站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP地址。
目前解決服務器被攻擊最有效的辦法就是使用硬件防火墻了,美國SK機房是美國最大硬防機房,50G硬件 防火墻,單臺服務器提供10G流量攻擊,服務器不限流量,61個ip。  
發(fā)布:2007-03-30 10:30    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]