下面介绍如何判断服务器是否受到DDoS攻击。使用如下几个简单的步骤可以进行判断。
◆ 最明显的感觉是服务器响应缓慢,一般直接可以从服务器提供的页面显示速度上察觉。
◆ 登录服务器,用“netstat”命令查看,发现服务器有大量等待的TCP连接。
◆ 利用Sniffer、Tcpdump等嗅探工具会发现网络中充斥着大量源地址为假的伪装数据包。
◆ 从ISPtgi控上可以看出服务器的数据流量猛增,造成网络拥塞,服务器甚至不能正常地与外界通信。
◆ 严重时会造成系统死机。下面以一台RHEL AS 4.0的服务器为例,使用系统自带的netstat工具来检测DDoS攻击。
#netstat -n -p TCP
tcp 0 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV-
tcp 0 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV-
tcp 0 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV-
tcp 0 0 10.11.11.11:23 222.220.13.25:47393 SYN_RECV-
tcp 0 0 10.11.11.11:23 212.200.204.182:60427 SYN_RECV-
tcp 0 0 10.11.11.11:23 232.115.18.38:27811 SYN_RECV-
tcp 0 0 10.11.11.11:23 239.116.95.96:5122 SYN_RECV-
上面是在Linux系统中看到的输出结果,很多连接处于SYN-RECV状态(在Windows系统中是SYN-RECEIVED状态), 源IP地址都是随机的(也可能是同一个IP的很多SYN—RECV连接状态),表明这是一种带有IP欺骗的SYN攻击。通过下面的命令也可以直接查看Linux环境下某个端口的未连接队列条目数:
#netstat -atun |grep SYN_RECV |grep:80 |wc –l
结果显示了TCP 80端口的未连接数请求及个数, 虽然还远未达到系统极限, 但应该引起管理员的注意。

文章如转载,请注明转载自:http://www.5iadmin.com/post/338.html