如何判断服务器是被攻击还是在攻击
(1)CC类攻击
A.网站出现service unavailable提示
B.CPU占用率很高
C.网络连接状态:netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条
D.外部无法打开网站,软重启后短期内恢复正常,几分钟后又无法访问。
(2)SYN类攻击
A.CPU占用很高
B.网络连接状态:netstat –na,若观察到大量的SYN_RECEIVED的连接状态
(3)UDP类攻击
A.观察网卡状况 每秒接受大量的数据包
B.网络状态:netstat –na TCP信息正常
(4)TCP洪水攻击
A.CPU占用很高
B.netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条
如不幸被当肉鸡去攻击别人,就查看您的服务器是否有向别的服务器不断发送文件。
如何看Linux服务器是否被攻击
top命令,查看有没有异常进程占用大量的CPU或者是内存资源;
查看less /var/log/secure文件,查看ssh日志,看是否有非法用户大量尝试ssh;
who命令,查看目前ssh到linux服务器的用户,是否是合法的;
查看在linux服务器上部署的应用是否有漏洞,有的话很容易受到攻击。
如何查看linux服务器被攻击是否被攻击过
以下几种方法检测linux服务器是否被攻击:
1、检查系统密码文件
首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
2、查看一下进程,看看有没有奇怪的进程
重点查看进程:ps –aef | grep inetd inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd –s
/tmp/.xxx之类的进程,着重看inetd
–s后面的内容。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中
也仅仅是inetd
–s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件,那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门。
3、检查系统守护进程
检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep –v “^#”,输出的信息就是这台机器所开启的远程服务。
一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
输入netstat –rn,查看本机的路由、网关设置是否正确。
输入 ifconfig –a,查看网卡设置。
5、检查系统日志
命令last |
more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系
统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现
syslog被非法动过,那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。这种方式有一定的成功率,也就是说并不能
100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core
–exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法,通常通过输入ls –l
文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V
`rpm –qf 文件名`
来查询,查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man
rpm来获得更多的格式。
如何判断服务器受cc攻击
CC攻击一般有几个症状。
1、CPU消耗高
2、带宽消耗高。
最直接的判断是看IIS连接数,你可以用护卫神.iis信息查看器,观测到。
防御CC的最好办法,用阿里云CDN。
想知道如何查看服务器是否被ddos攻击?
1.命令行法。
2.批处理法。
上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,我们可以建立一个批处理文件,
3.查看系统日志。
上面的DDOS攻击软件两种方法有个弊端,只可以查看当前的DDOS攻击软件CC攻击,对于确定Web服务器之前
您好以上方法都检测是否被攻击的,如果受到攻击的话,最好能使用高防服务器。群英高防不错的
服务器被攻击,怎么确定是什么攻击
常见的攻击类型有:CC、DDoS、80端口、ARP攻击。
1、CC攻击:CC攻击的最大特点就是攻击者会控制N多台“肉鸡”(也叫僵尸机)同时访问您的网站或应用,使系统资源迅速耗尽,导致系统卡顿或死机。(CPU内存使用率异常)
2、DDoS攻击:最常见的大流量攻击,浪费您的服务器带宽资源,通常会导致网站不法正常打开,或打卡速度非常慢。
3、80端口攻击:攻击者会通过80端口潜入到您的服务器中,可以通过关闭不常用的端口来解决,也可以修改默认端口号,能起到一定的保护作用。遇到端口攻击时只有一个办法,就是拔网线。目前还没有更好的解决方法。
4、ARP攻击:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
常见的也就这些了。流量攻击可以归总到DDoS攻击里。
海腾-张毅龙为您解答,希望能够帮到您。
0条大神的评论