怎么判斷服務(wù)器被DDOs了，被攻擊的解決辦法

申請免費(fèi)試用、咨詢電話：400-8352-114

    DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬 被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主 機(jī)；另一種為資源耗盡攻擊，主要是針對服務(wù)器 主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò) 服務(wù)。
　　 如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重(假定平 時(shí)是正常的)，則可能遭受了流量攻擊，此時(shí)若發(fā)現(xiàn)和 你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問不了了 ，基本可以確定是遭受了流量攻擊。當(dāng)然，這樣測試的前提是你到服務(wù)器主機(jī)之間的ICMP協(xié)議沒有被路由 器和 防火墻等設(shè)備屏蔽，否則可采取Telnet主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。不過有 一點(diǎn)可以肯定，假如平時(shí)Ping你的主機(jī)服務(wù)器和接在同 一交換機(jī)上的主機(jī)服務(wù)器都是正常的，突然都 Ping不通了或者是嚴(yán)重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個(gè)流量 攻擊的典 型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會失敗。
          相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時(shí)Ping網(wǎng)站主機(jī)和訪問網(wǎng)站都是 正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還 可以Ping通，則很可能遭受了資源耗盡攻 擊，此時(shí)若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài) 存在，而ESTABLISHED很少，則可判定肯定 是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是 ，Ping自己的網(wǎng)站主機(jī)Ping不通或者是丟包嚴(yán)重，而Ping與自己的主機(jī)在同一交換機(jī)上的 服務(wù)器則正常 ，造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達(dá)到100%無法回應(yīng)Ping命 令，其實(shí)帶寬還是有的，否則就 Ping不通接在同一交換機(jī)上的主機(jī)了。
當(dāng)前主要有三種流行的DDOS攻擊：
            1、SYN/ACK Flood攻擊：這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服 務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或 ACK（命令正確應(yīng)答？）包，導(dǎo)致主機(jī)的 緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的故追蹤起來比較困難，缺點(diǎn)是實(shí)施 起來有一定難 度，需要高帶寬的僵尸主機(jī)支持。少量的這種攻擊會導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以 Ping的通，在服務(wù)器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導(dǎo) 致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵 盤和鼠標(biāo)。普通防火墻大多無法抵御 此種攻擊。
           2、TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防 火墻大多具備過濾TearDrop、Land等DOS攻擊 的能力，但對于正常的TCP連接是放過的，殊不知很多網(wǎng)絡(luò) 服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量 的TCP連接，即便 是正常的，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與受 害服務(wù)器建立大量的TCP連接，直 到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊 的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵 尸主機(jī)的 IP是暴露的，因此容易被追蹤。
           3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用 MSSQLServer、 MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接 ，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù) 據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一 般來說，提交一個(gè)GET或POST指令對客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請 求 卻可能要從上萬條記錄中去查出某個(gè)記錄，這種處理過程對資源的耗費(fèi)是很大的，常見的數(shù)據(jù)庫服務(wù) 器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行，而這對于客戶端來說卻 是輕而易舉的，因此攻擊者只需通過 Proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見 的現(xiàn)象就是網(wǎng)站慢 如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的 特點(diǎn)是可以完全繞過普通的防火墻防護(hù)，輕松找一些Proxy代理 就可實(shí)施攻擊，缺點(diǎn)是對付只有靜態(tài)頁面 的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。
目前解決服務(wù)器被攻擊最有效的辦法就是使用硬件防火墻了，美國SK機(jī)房是美國最大硬防機(jī)房，50G硬件 防火墻，單臺服務(wù)器提供10G流量攻擊，服務(wù)器不限流量，61個(gè)ip。