7292 
2023-05-29 11:44:01 就目前的網(wǎng)絡(luò)環(huán)境而言,網(wǎng)絡(luò)攻擊時(shí)有發(fā)生,特別是令人防不勝防的DDoS攻擊。如何檢測(cè)ddos攻擊呢?很多時(shí)候被攻擊是因?yàn)閻盒愿?jìng)爭(zhēng)導(dǎo)致的,我們要根據(jù)情況來判定是不是被DDoS攻擊了。
如何檢測(cè)ddos攻擊
要檢測(cè)DDoS攻擊程序的存在,可以有2種方法:
1、通常,我們可以使用文件系統(tǒng)掃描工具來確定在服務(wù)器文件系統(tǒng)上是否存在已知的DDoS攻擊程序。
同病毒軟件一樣,每當(dāng)有新的DDoS發(fā)明出來,當(dāng)前的DDoS工具就將過時(shí),或者它對(duì)現(xiàn)存的DDoS進(jìn)行修改而避開檢查。所以,要選擇最近更新的掃描工具才能檢測(cè)到最新的DDoS攻擊程序。
FBI提供了一個(gè)工具叫做"find_ddos",用于檢測(cè)一些已知的拒絕服務(wù)工具,包括trinoo進(jìn)程、trinoo主人、加強(qiáng)的tfn進(jìn)程、tfn客戶程序、tfn2k客戶程序和tfn-rush客戶程序。請(qǐng)注意,F(xiàn)BI的這個(gè)工具并不能保證捕獲所有的DDoS工具。如果侵入者安裝了一個(gè)根文件包,那么find_ddos程序就有可能無法處理它。
2、還可使用手工方法對(duì)起源于本地網(wǎng)絡(luò)中的DDoS活動(dòng)進(jìn)行雙重檢查。
在Web服務(wù)器與Internet或者上游ISP連接之間的防火墻上建立一個(gè)濾波器,以尋找spoofed (哄騙)信息包,也就是那些不是從你自己的網(wǎng)絡(luò)上生成的信息包。這就是所謂的出口過濾。如果在你的網(wǎng)絡(luò)上正在生成spoofed信息包,那么這很可能是一個(gè)DDoS程序生成的。
如何辨別是否是網(wǎng)絡(luò)DDoS攻擊?
1、服務(wù)器連接不到,網(wǎng)站也打不開
如果網(wǎng)站服務(wù)器被大量DDoS攻擊時(shí),有可能會(huì)造成服務(wù)器藍(lán)屏或者死機(jī),這時(shí)就意味著服務(wù)器已經(jīng)連接不上了,網(wǎng)站出現(xiàn)連接錯(cuò)誤的情況。
2、服務(wù)器CPU被大量占用
DDoS攻擊其實(shí)是一種惡意性的資源占用攻擊,攻擊者利用肉雞或者攻擊軟件對(duì)目標(biāo)服務(wù)器發(fā)送大量的無效請(qǐng)求,導(dǎo)致服務(wù)器的資源被大量的占用,因而正常的進(jìn)程沒有得到有效的處理,這樣網(wǎng)站就會(huì)出現(xiàn)打開緩慢的情況。如果服務(wù)器某段時(shí)期能突然出現(xiàn)CPU占用率過高,那么就可能是網(wǎng)站受到CC攻擊影響。
3、服務(wù)器帶寬被大量占用
占用帶寬資源通常是DDoS攻擊的一個(gè)主要手段,畢竟對(duì)很多小型企業(yè)或者個(gè)人網(wǎng)站來說,帶寬的資源可以說非常有限,網(wǎng)絡(luò)的帶寬被大量無效數(shù)據(jù)給占據(jù)時(shí),正常流量數(shù)據(jù)請(qǐng)求很很難被服務(wù)器進(jìn)行處理。如果服務(wù)器上行帶寬占用率達(dá)到90%以上時(shí),那么你的網(wǎng)站通常出現(xiàn)被DDoS攻擊的可能。
4、域名ping不出IP
域名ping不出IP這種情況站長(zhǎng)們可能會(huì)比較少考慮到,這其實(shí)也是DDoS攻擊的一種表現(xiàn),只是攻擊著所針對(duì)的攻擊目標(biāo)是網(wǎng)站的DNS域名服務(wù)器。在出現(xiàn)這種攻擊時(shí),ping服務(wù)器的IP是正常聯(lián)通的,但是網(wǎng)站就是不能正常打開,并且在ping域名時(shí)會(huì)出現(xiàn)無法正常ping通的情況。
如果經(jīng)常發(fā)生DDoS攻擊,對(duì)于網(wǎng)站來說是比較危險(xiǎn)的,因此要重視DDOS攻擊。防御DDoS攻擊,可以使用安全狗來防護(hù)。
如何檢測(cè)ddos攻擊,內(nèi)存被大量占用這一點(diǎn)是最重要的。ddos攻擊本身就是在惡意導(dǎo)致資源被占用。攻擊者們利用攻擊軟件,針對(duì)服務(wù)器發(fā)送大量的垃圾請(qǐng)求,就會(huì)出現(xiàn)服務(wù)器內(nèi)存被大量的占據(jù),導(dǎo)致服務(wù)器癱瘓。
