檢查 DDoS 網站:什么是 DDoS?網站 DDoS 或拒絕服務攻擊是一種使用一個或多個 IP 地址的協同攻擊��,旨在通過使其服務器無法訪問來削弱網站��。這是通過使服務器資源過載并耗盡所有可用連接和帶寬來完成的��。就像開車一樣,如果車流量太大,你從 A 點到 B 點的旅行時間就會變慢��。
通過用超出其處理能力的連接淹沒服務器��,服務器變得過載��,無法處理合法請求。即使是大型服務器也無法處理遭受 DDoS 攻擊的網站所能帶來的連接數。
雖然實施 DDoS 攻擊的方式有很多種��,從 HTTP 泛洪到慢速長連接��,但絕大多數都需要直接連接到您的服務器��。其中很多。好消息是��,由于這些連接是活躍的��,您很可能會看到它們正在建立。使用幾個簡單的命令��,您不僅可以確定網站是否正在遭受 DDoS 攻擊��,還可以獲得幫助緩解這些攻擊所需的信息��。
如何檢查網站是否存在 DDoS��?
如果您擔心您的服務器可能被黑客入侵,您的網站可能受到 DDoS 攻擊,您需要做的第一件事就是查看您服務器的負載��。
可接受的負載是多少��?這取決于您的 CPU 資源或可用線程��。通常,規則是每個線程一分。
要確定服務器的當前負載��,可以使用 grep /proc /cpuinfo | . 命令 wc -l 命令��,將返回邏輯處理器(線程)的數量��。在 DDoS 攻擊期間,您可能會看到負載是您應有的最大負載的兩倍、三倍甚至更高。
首先,使用下面的兩個命令返回服務器正常運行時間和負載。
負載平均值顯示以下時間段的負載:1 分鐘平均值、5 分鐘平均值和 15 分鐘平均值。在這種情況下,大于 7 的平均負載可能是一個問題。
與上面的示例不同��,有時您的服務器會通過后端連接(如 IPMI)響應良好��,但在通過公共接口連接時仍然會很慢��。要確定是否屬于這種情況,您需要檢查您的網絡流量。
這可以使用多種工具之一來完成��,包括 nload��、bmon��、iftop、vnstat 和 ifstat。您的選擇將取決于您的操作系統,但所有這些工具都可以通過您的包管理器(apt��、yum 等)安裝��。
當網站被 DDoS 攻擊時��,如何檢查哪個 IP 連接到您的服務器
由于大多數 DDoS 攻擊都需要連接到您的服務器��,因此您可以檢查并查看有多少 IP 地址以及哪些 IP 地址同時連接到您的服務器��。
這可以使用 netstat 來確定,netstat 是一個用于提供各種詳細信息的命令��。但是��,在這種情況下��,我們只對建立連接的特定 IP、IP 的數量以及它們所屬的子網感興趣��。要開始��,請在終端中鍵入以下命令:
netstat -ntu|awk '{print $5}' |cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
此命令將返回降序排列哪些 IP 連接到您的服務器的列表以及每個 IP 有多少個連接��。
結果還可能包含虛擬數據,這些數據將顯示為非 IP 信息并且可能會被忽略��。
查看結果��,您應該會看到每個 IP 列出的連接數從 1 到大約 50 個不等��。這對于正常流量來說很常見。但是��,如果您看到某些 IP 具有超過 100 個連接��,則需要進行調查��。
您可以查看已知 IP、一個或多個服務器私有 IP��,甚至您自己的多個連接私有 IP��。在大多數情況下��,它們可以忽略,因為它們仍然很正常��。當您看到具有數百或數千個連接的單個未知 IP 時��,您應該擔心��,因為這可能是攻擊的跡象��。
當網站受到 DDoS 攻擊時減輕攻擊
一旦您檢測到哪些 IP 正在攻擊您的服務器��,就可以通過一些簡單的命令來阻止這些特定的 IP。
要開始使用��,請使用以下命令��,將“ipaddress”替換為您要阻止的 IP 地址��。
在服務器上阻止特定 IP 后��,您可以使用以下命令交叉檢查該 IP 是否已成功阻止:
您還可以通過輸入以下命令使用 iptables 突出顯示服務器上的 IP 地址:
iptables -A INPUT 1 -s IPADDRESS - j DROP/REJECT
service iptables restart
service iptables save
輸入這一系列命令后,您需要終止所有 httpd 連接并重新啟動 httpd 服務��。這可以通過鍵入以下內容來完成:
killall -KILL httpd
service httpd startssl
如果多個未知 IP 地址正在建立大量連接��,則可以對所有被濫用的 IP 重復這些過程中的任何一個��。
使用多個 IP 受 DDoS 影響的網站
雖然可以很容易地診斷和修復來自生成多個連接的單個 IP 的拒絕服務攻擊,但防止網站受到 DDoS 攻擊變得更加復雜��,因為攻擊者使用更少的連接��,更多的連接超過更多的攻擊 IP��。
在這些情況下,即使網站受到 DDoS 攻擊��,您也會看到更少的個人連接��。隨著物聯網 (IoT) 的興起��,此類攻擊變得越來越普遍。通過滲透和使用具有 Internet 連接的“智能”設備��、設備和工具��,惡意行為者建立了一個可用 IP 網絡��,稱為僵尸網絡,當網站由 DDoS 協調針對特定目標時��,能夠部署在攻擊中��。
那么,如果您看到大量未知 IP 僅建立單一連接,您該怎么辦��?在這種情況下��,很難確定這是有機流量還是協同攻擊��。
首先,您需要確定這些連接是否來自公共子網:公共是相同的/16 或 /24。您可以使用接下來的兩個命令列出包含 IP 的子網��。已連接以及有多少 IP每個子網��。
要從同一 /16 子網 (xxx.xxx.0.0) 中查找 IP��,請使用:
netstat -ntu|awk '{print $5}' |cut -d: -f1 -s |cut -f1, 2 - d '.' |sed 's/$/.0.0/' |sort|uniq -c|sort -nk1 -r
輸入時,此命令將顯示以相同的兩個八位字節開頭的任何 IP:即。192.168.xxx.xxx��。
要從同一 /24 子網 (xxx.xxx.xxx.0) 中查找 IP��,請使用:
netstat -ntu|awk '{print $5}' |cut -d: -f1 -s |cut -f1, 2 , 3 -d '.' |sed 's/$/.0/' |sort|uniq -c|sort -nk1 -r
輸入時��,此命令將顯示以相同的三個八位字節開頭的任何 IP:即。192.168.1.xxx��。
當您的網站遭受多 IP DDoS 攻擊時��,一旦確定您是否真的受到攻擊��,緩解它的步驟與上面使用的針對單個 IP 攻擊的步驟相同,只是復制到多個 IP。
這些技術只是一些可用于檢查可能的攻擊的工具。雖然可以使用更高級的工具��,但這些方法可以提供快速簡便的結果來確定您是否正在遭受 DDoS 攻擊��。
即使沒有被黑客攻擊��,這些命令提供的信息也很有用,熟悉它們可以幫助增強任何管理員的工具。
與 DDoS 攻擊相關的風險和成本比以往任何時候都大��。不幸的是��,隨著僵尸網絡的泛濫��,即使驗證了 DDoS 攻擊,手動阻止成百上千個攻擊 IP 也是極其困難的。在這些情況下,攻擊一旦開始就很難停止��。
出于這個原因��,最好在 DDoS 攻擊發生之前制定一個計劃來應對它們。除了這里提到的方法之外��,您可能還想考慮訂閱在線提供的各種 DDoS 保護服務之一��。熱門選項包括 Akamai��、Verisign 和 Radware。
網站資訊
解決方案
服務支持
