如何检查您的Linux服务器是否受到DDoS攻击

无论您是博主、电子商务商店的所有者,还是本地服务提供商的网站管理员,每个人都知道,在当今互联网驱动的世界中,拥有一个强大的网站可能是经济成败的关键。 随着企业越来越依赖搜索引擎和网络流量来推动销售,在线恶意行为者始终存在的风险带来了比以往任何时候都更高的代价。

但是什么是 DDoS 攻击,如何识别它们,以及如何保护您的网站免受它们的侵害? 在本指南中,我们将了解 DDoS 攻击的常见迹象以及您可以采取哪些步骤来减轻它们造成的损害。

  什么是 DDoS?

DDoS 或 分布式拒绝服务 ,是一种使用一个或多个 IP 地址的协同攻击,旨在通过使网站的服务器无法访问来瘫痪网站。 这是通过使服务器资源过载并用完所有可用连接、带宽和吞吐量来完成的。 就像开车一样,如果车流量太大,您从 A 点到 B 点的旅行时间会变慢。 通过用超出其处理能力的更多连接来淹没服务器,服务器会陷入困境,使其无法处理合法请求。 即使是强大的服务器也无法处理 DDoS 可以带来的连接数量。

虽然有多种方法可以执行 DDoS 攻击,从 HTTP 洪水到 Slowloris 的延迟连接,但绝大多数都需要与您的服务器的实时连接。 其中很多。

如何检查您的 Linux 服务器是否受到 DDoS 攻击

如何检查您的 Linux 服务器是否受到 DDoS 攻击

好消息是,因为这些连接是实时的,您可以看到它们的建立过程。 使用一些简单的命令,您不仅可以确定 DDoS 是否正在发生,而且还可以获得帮助缓解这些攻击所需的信息。

  如何检查 DDoS

如果您担心您的服务器可能受到 DDoS 攻击,您需要做的第一件事就是查看服务器上的负载。 像 uptime 或 top 命令这样简单的东西会让你很好地了解服务器的当前负载。

  但什么是可接受的负载?

这取决于您的 CPU 资源或可用线程。 通常,规则是每个线程一分。

要确定服务器的当前负载,您可以使用 grep 处理器 /proc/cpuinfo | wc -l 命令,它将返回逻辑处理器(线程)的数量。 在 DDoS 攻击期间,您可能会看到负载是您应该拥有的最大负载的两倍、三倍甚至更高。 平均负载按以下时间间隔显示负载:平均 1 分钟、平均 5 分钟和平均 15 分钟。 在这种情况下,大于 7 的平均负载可能是一个问题。

  如何检查哪些 IP 连接到您的服务器

由于大多数 DDoS 攻击需要连接到您的服务器,您可以检查并查看有多少 IP 地址和哪些 IP 地址连接到您的服务器。 这可以使用 来确定 netstat , 该命令用于提供各种详细信息。 但在这种情况下,我们只对建立连接的特定 IP、IP 数量以及它们所属的子网感兴趣。首先,在终端中输入以下命令:

代码语言:javascript
复制
netstat -ntu|awk ‘{print $5}’|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

如果输入正确,此命令将返回一个降序列表,列出哪些 IP 连接到您的服务器以及每个 IP 有多少连接。 结果还可能包括工件数据,这些数据将显示为非 IP 信息,可以忽略。

查看结果,您将看到列出的连接范围从每个 IP 1 到大约 50 个连接不等。 这对于正常流量来说是很常见的。 但是,如果您看到一些具有 100 多个连接的 IP,则需要仔细检查。

在列表中,您可能会看到已知 IP、一个或多个服务器自己的 IP,甚至您自己的具有多个连接的个人 IP。 在大多数情况下,这些可以被忽略,因为它们通常在那里。 当您看到具有数百或数千个连接的单个未知 IP 时,您应该担心,因为这可能是攻击的迹象。

转载《保护您的WordPress网站免受DDoS攻击》