常見流量攻擊

服務器的攻擊分為四類，cc攻擊、syn攻擊、udp攻擊、tcp洪水攻擊。那么當被攻擊時會出現哪些癥狀呢，我們是如何來判斷服務器是否被攻擊，屬于哪種攻擊類型？

第一種類型：CC類攻擊
CC攻擊是DDoS(分布式拒絕服務)的一種，這種一種比DDOS流氓行為更具有技術含量的一種攻擊方式，CC攻擊完全模擬正常訪問行為，沒有虛假IP，也沒有大的流量異常，但一樣會造成您的服務器無法正常連接，一條ADSL的普通用戶發(fā)起的CC攻擊就可以干掉一臺高性能的服務器。

服務器唄CC攻擊時，會出現80端口關閉的現象，即出現丟包和高延遲的現象， 因為80端口被大量的垃圾數據堵塞導致正常的連接被中止?？梢酝ㄟ^在CMD命令窗口輸入命令 netstat -an 來查看，如果看到類似如下大量顯示雷同的連接記錄基本就可以被CC攻擊了：
……
TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4

A.網站出現service unavailable提示

B.CPU占用率很高C.網絡連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài)

單個IP高達幾十條甚至上百條

D.外部無法打開網站,軟重啟后短期內恢復正常,幾分鐘后又無法訪問。

CC類攻擊檢測

第一條命令：tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'

正常的輸出結果類似于這樣POST /ajax/validator.php HTTP/1.1

第二種類型：SYN類攻擊

A.CPU占用很高B.網絡連接狀態(tài)：netstat –na,若觀察到

大量的SYN_RECEIVED的連接狀態(tài) SYN類攻擊檢測netstat -na 顯示所有活動的網絡連接netstat -an | grep :80 | sort 顯示所有80端口的網絡連接并排序。80端口為http端口netstat -n -p | grep SYN_REC | wc -l 查看當前有多少活動的SYNC_REC連接，最好值小于5.netstat -n -p | grep SYN_REC | sort -u 列出所有連接過的IP地址netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’ 列出所有發(fā)送SYN_REC連接節(jié)點的IP地址netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令計算每個主機連接到本機的連接數netstat -anp | grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n 列出所有連接到本機的udp或者tcp連接的數量netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr 檢查ESTABLISHED 連接并且列出每個IP地址的連接數量Netstat -plan|grep :80| awk {‘print $5’} | cut -d: -f1 | sort | uniq -c | sort -nk 1 列出所有連接到本機80

端口的IP地址和其他連接數 　

1、利用netstat 工具來檢測查看SYN連接netstat -n -p -t |wc -

l

防護SYN類攻擊措施

防范也主要從兩方面入手，一是sysctl的自身的關于syn方面的配置，二是防火墻策略上。sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie，默認關閉sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn隊列，默認1024，》 1280可能工作不穩(wěn)定，需要修改內核源碼參數sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手狀態(tài)重試次數，默認5，遭受syn-flood攻擊時改為1或2sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重試次數，默認

4

通過下列命令查看。［root@localhost nginx］# sysctl -a|grep synnet.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120net.ipv4.tcp_max_syn_backlog = 1024net.ipv4.tcp_syncookies = 1net.ipv4.tcp_synack_retries = 5net.ipv4.tcp_syn_retries = 5fs.quota.syncs =

25

如未受到攻擊，上面的參數不建議修改。據說有增加主機的不穩(wěn)定性的風險。

第三種類型：UDP類攻擊

A.觀察網卡狀況 每秒接受大量的數據包

B.網絡狀態(tài)：netstat –na TCP信息正常

UDP類攻擊檢測

檢測udp端口檢測端口是否打開：nc -zuv ip 端口服務器監(jiān)聽端口：nc -l -u ip 端口（可以發(fā)送和接受信息）客戶端檢測端口：nc -u ip 端口（可以發(fā)送和接受信息）查看監(jiān)聽的tup端口：ss -ant查看監(jiān)聽的udp端口：ss -anu查看所有協(xié)議端口：ss -

ano

第四種類型：TCP洪水攻擊

A.CPU占用很高B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達幾十條甚至上百條，屬于正常。

查看TCP端口連接數查看網絡連接總數# netstat -an |wc -l查看某個特定ip的連接數# netstat -an |grep 8.8.8.8 |wc -l查看連接數等待time_wait狀態(tài)連接數# netstat -an |grep TIME_WAIT|wc -l查看建立穩(wěn)定連接數量# netstat -an |grep ESTABLISHED |wc -l查看不同狀態(tài)的連接數# netstat -an | awk '/^tcp/ {++y[$NF]} END {for(w in y) print w, y[w]}'查看每個ip跟服務器建立的連接數# netstat -nat|awk '{print$5}'|awk -F : '{print$1}'|sort|uniq -c|sort -rn（PS：正則解析：顯示第5列，-F : 以：分割，顯示列，sort 排序，uniq -c統(tǒng)計排序過程中的重復行，sort -rn 按純數字進行逆序排序）查看每個ip建立的ESTABLISHED/TIME_OUT狀態(tài)的連接數# netstat -nat|grep ESTABLISHED|awk '{print$5}'|awk -F : '{print$1}'|sort|uniq -c|sort -

rn

以下是我自己用VPS測試的結果：root:~# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n1 114.226.9.xx1 174.129.237.xx1 58.60.118.xx1 Address1 servers)2 118.26.131.xx3 123.125.1.

x

每個IP幾個、十幾個或幾十個連接數都還算比較正常，如果像上面成百上千肯定就不正常了。

上述所講到的判斷分析，讓我們能準確的判斷存在的問題是什么，怎么第一時間來解決問題。讓我們能更好的維護我們的網站安全。 TCP洪水攻擊檢測# tail -f /var/log/messagesApr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies

.

檢查連接數增多，并且SYN_RECV 連接特別多：檢查連接數增多，并且SYN_RECV 連接特別多：# netstat -n awk '/^tcp/ { S[$NF]} END {for(a in S) print a, S[a]}'TIME_WAIT 16855CLOSE_WAIT 21SYN_SENT 99FIN_WAIT1

229

根據經驗，正常時檢查連接數如下：# netstat -n awk

'/^tcp/ { S[$NF]} END {for(a in S) print a, S[a]}'

根據netstat查看到的對方IP特征：# netstat -

na grep SYN_RECV more

以下配置，第一段參數是最重要的，第二段參數是輔助的，其余參數是其他作用的：# vi /etc/sysctl.confnet.ipv4.tcp_synack_retries=0#半連接隊列長度net.ipv4.tcp_max_syn_backlog=200000#系統(tǒng)允許的文件句柄的大數目，因為連接需要占用文件句柄fs.file-max=819200#用來應對突發(fā)的大并發(fā)connect 請求net.core.somaxconn=65536#大的TCP 數據接收緩沖（字節(jié)）net.core.rmem_max=1024123000#大的TCP 數據發(fā)送緩沖（字節(jié)）net.core.wmem_max=16777216#網絡設備接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的大數目net.core.netdev_max_backlog=165536#本機主動連接其他機器時的端口分配范圍net.ipv4.ip_local_port_range=

1000065535

使配置生效：# sysctl -p注意，以下參數面對外網時，不要打開。因為副作用很明顯，具體原因請google，如果已打開請顯式改為0，然后執(zhí)行sysctl -p關閉。因為經過試驗，大量TIME_WAIT狀態(tài)的連接對系統(tǒng)沒太大影響：#當出現 半連接 隊列溢出時向對方發(fā)送syncookies，調大 半連接 隊列后沒必要net.ipv4.tcp_syncookies=0#TIME_WAIT狀態(tài)的連接重用功能net.ipv4.tcp_tw_reuse=0#時間戳選項，與前面net.ipv4.tcp_tw_reuse參數配合net.ipv4.tcp_timestamps=0#TIME_WAIT狀態(tài)的連接回收功能net.ipv4.tcp_tw_recycle=0

防御TCP洪水攻擊方法通過調整tcp參數來防范DDOS攻擊

sysctl -a | grep syn 看到：SYN相關的配置 net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_syncookies = 0

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syn_retries = 5tcp_max_syn_backlog是SYN隊列的長度，tcp_syncookies是一個開關，是否打開SYN Cookie 功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN 的重試次數。加大SYN隊列長度可以容納更多等待連接的網絡連接數，打開SYN Cookie功能可以阻止部分 SYN攻擊，降低重試次數也有一定效果。

調整上述設置的方法是：

增加SYN隊列長度到2048：sysctl -w net.ipv4.tcp_max_syn_backlog=

2048

打開SYN COOKIE功能：sysctl -w net.ipv4.tcp_syncookies=

1

降低重試次數：sysctl -w net.ipv4.tcp_synack_retries=3sysctl -w net.ipv4.tcp_syn_retries=

3

為了系統(tǒng)重啟動時保持上述配置，可將上述命令加入到/etc/rc.d/rc.local文件中。

防止同步包洪水（Sync Flood）# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -

j ACCEPT

也有人寫作#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT--limit 1/s 限制syn并發(fā)數每秒1

次，可以根據自己的需要修改

防止各種端口掃描# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -

j ACCEPT

Ping洪水攻擊（Ping of Death）# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

擴展 問題1：解決time_wait連接數大量問題

查詢到time_wait連接數過多情況下，調整內核參數：/etc/sysctl.conf# vim /etc/sysctl.conf添加以下配置文件：net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_fin_timeout = 300讓配置生效# /sbin/sysctl -p參數詳解：1.net.ipv4.tcp_syncookies = 1 表示開啟 syn cookies 。當出現 syn 等待隊列溢出時，啟用 cookies 來處理，可防范少量 syn ***，默認為 0 ，表示關閉； 2.net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將 time-wait sockets 重新用于新的 tcp 連接，默認為 0 ，表示關閉；3.net.ipv4.tcp_tw_recycle = 1 表示開啟 tcp 連接中 time-wait sockets 的快速回收，默認為 0 ，表示關閉。4.net.ipv4.

tcp_fin_timeout 修改系靳默認的 timeout 時間

如果以上配置調優(yōu)后性能還不理想，可繼續(xù)修改一下配置：# vim /etc/sysctl.confnet.ipv4.tcp_keepalive_time = 1200 #表示當keepalive起用的時候，TCP發(fā)送keepalive消息的頻度。缺省是2小時，改為20分鐘。net.ipv4.ip_local_port_range = 1024 65000 #表示用于向外連接的端口范圍。缺省情況下很?。?2768到61000，改為1024到65000。net.ipv4.tcp_max_syn_backlog = 8192 #表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網絡連接數。net.ipv4.tcp_max_tw_buckets = 5000 #表示系統(tǒng)同時保持TIME_WAIT套接字的大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除并打印警告信息。默認為180000，改為5000

。對于Apache、Nginx等服務器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對于 Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的大數量，避免Squid服務器被大量的TIME_WAIT套接字拖死。 問題2：ESTABLISHED連接數過大問題

怎么解決請求結束后依然存在大量ESTABLISHED沒有被釋放

初步推斷是tomcat服務器回收session時出了問題，這個一般都跟服務器的Timeout設置有聯(lián)系。

查看tomcat的配置文件 server.xmlCopy<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8" />****

*

檢查配置得出20000毫秒的時候acceptCount=”100” ，明顯不合理，大連接數也太小了吧。

所以進一步優(yōu)化：CopyconnectionTimeout="20000" 改為 connectionTimeout="100"acceptCount="100"改為acceptCount="5000"

DDoS攻擊防御方法

**1. 過濾不必要的服務和端口：**可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。 **2. 異常流量的清洗過濾：**通過DDOS硬件防火墻對異常流量的清洗過濾，通過數據包的規(guī)則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。

**3. 分布式集群防御：**這是目前網絡安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址（負載均衡），并且每個節(jié)點能承受不低于10G的DDOS攻擊，如一個節(jié)點受攻擊無法提供服務，系統(tǒng)將會根據優(yōu)先級設置自動切換另一個節(jié)點，并將攻擊者的數據包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。

**4. 高防智能DNS解析：**高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的好結合，為企業(yè)提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統(tǒng)一個域名對應一個鏡像的做法，智能根據用戶的上網路線將DNS解析請求解析到用戶所屬網絡的服務器。同時智能DNS解析系統(tǒng)還有宕機檢測功能，隨時可將癱瘓的服務器IP智能更換成正常服務器IP，為企業(yè)的網絡保持一個永不宕機的服務狀態(tài)。

參考鏈接 ：

https://www.cnblogs.com/mydomain/archive/2013/05/14/3079002.html

https://www.cnblogs.com/hello-sky/p/11598954.html

五種簡單CC攻擊解決方案 http://www.anxinidc.com/faq/anquan/126.html

linux檢測及防止DDOS攻擊的技巧(2) http://www.xitongzhijia.net/xtjc/20150608/50328_2.html

TCP洪水攻擊（DDOS）診斷與防護http://blog.sina.com.cn/s/blog_6f82cb740101j7z0.html

服務器被ddos攻擊?分析如何防止DDOS攻擊? ：https://blog.csdn.net/weixin_34407348/article/details/86013716?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-10.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-10.nonecase

DDos攻擊的常見方法及防御方法 https://www.cnblogs.com/larry-luo/p/10208074.html

新聞標題：查看服務器是否被DDOS攻擊的方法
轉載來源：http://aaarwkj.com/news23/202673.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供自適應網站、網站營銷、網頁設計公司、網站制作、手機網站建設、商城網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)