如何查看伺服器被什麼流量攻擊
1. 如何判斷自己的伺服器是否被流量攻擊
酷酷雲為您解答~
1、檢查網站後台伺服器發現大量無用的數據包;
2、伺服器主機上有大量等待的TCP連接;
3、網路流量出現異常變化突然暴漲;
4、大量訪問源地址是虛假的;
5、當發現Ping超時或丟包嚴重時,且同一交換機上的伺服器也出現了問題,不能進行正常訪問;
流量攻擊如何防禦?
1.擴充伺服器帶寬
伺服器的網路帶寬直接決定伺服器承受攻擊能力。所以在選購伺服器時,可以加大伺服器網路帶寬。
2.使用硬體防火牆
部分硬體防火牆基於包過濾型防火牆修改為主,只在網路層檢查數據包,若是DDoS攻擊上升到應用層,防禦能力就比較弱了。
3.選用高性能設備
除了使用硬體防火牆。伺服器、路由器、交換機等網路設備的安全性能也需要有所保證。
4.負載均衡
負載均衡建立在現有網路結構之上,它提供了一種廉價有效透明的方法擴展網路設備和伺服器的帶寬、增加吞吐量、加強網路數據處理能力、提高網路的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效。
5.篩查系統漏洞
要定期篩查系統漏洞,及早發現系統漏洞,及時安裝系統補丁。同時針對重要信息(如系統配置信息)做好備份。
6.限制特定的流量
如遇到流量異常時,應及時檢查訪問來源,並做適當的限制。以防止異常、惡意的流量來襲。主動保護網站安全。
7.選購高防伺服器
高防伺服器可以幫助網站拒絕服務攻擊,而且高防伺服器可以定時掃描現有的網路主節點,還可查找可能存在的安全漏洞的伺服器類型∞
酷酷雲伺服器為您誠意解答,伺服器租戶的選擇,酷酷雲值得信賴。
2. 怎樣查看伺服器是否被攻擊
DDOS攻擊,直接找機房要流量圖就看得到。把伺服器ip打掛了,連接不上伺服器,不通了。
cc攻擊:cpu變得很高,操作很卡,可以先讓伺服器商分析下,進伺服器里看下,現在很多伺服器安全軟體,市面有雲盾,金盾,cdn等各種防護軟體。
3. 伺服器流量異常是什麼原因呢
在使用伺服器的過程中,經常會碰到流量異常,時不時的流量很高。遇到這樣的情況,颶風科技挽風分析可能是以下幾點原因:
1.伺服器被暴力破解
2.伺服器被攻擊DD/CC遇到這種情況,該如何分析呢?
一、首先,可以先登錄伺服器裡面檢查伺服器日誌,看看是否有IP多次異常登錄並顯示登錄失敗的請求,如果顯示多次登錄失敗,說明有人正在嘗試暴力破解登錄你的伺服器,佔用了你過多的帶寬資源。解決辦法:把異常請求的IP加入到防火牆的黑名單中;埠改成隨機5位,盡量復雜些;密碼更改復雜些,安全系數高避免被惡意破解。若已經被暴力破解了,建議重裝下系統。不管怎樣,預防大於治療,提前做好安全防護措施是非常有必要的。
二、其次,檢查下伺服器的80埠連接數,看看80埠連接數是不是很多,這個要結合用戶自己平常對訪問流量的一個掌握,一般情況下80連接數幾百是正常的,假如上千到萬了,很有可能就是被攻擊導致的流量異常。那如何查看80連接數呢?如何查看80埠連接數:Windows系統:在運行cmd裡面輸入此命令:netstat -ano|findstr "8080"或者netstat -an |find /c ":80"Linux系統:netstat -nat|grep -i 『80』|wc -l
那又有什麼解決辦法呢,颶風科技挽風教你。若是被攻擊了導致的流量異常,一般情況下伺服器商會封掉被攻擊的IP,等沒有被攻擊了,一定時間後會自動解封。這里要判別下是打IP還是打網站,可以把被攻擊的IP下的站解析到其他的IP下。若這個換過的IP還是被打,很有可能是網站被攻擊,一般情況下都是同行競爭引起的,這個時候建議使用高防類的伺服器。若是換了IP,之前的被攻擊的IP還是被打,那可能是打IP,可以找伺服器商更換IP。這是颶風科技挽風日常工作總結出來的,歡迎共同交流,一起學習成長哈,總結的不足之處,還望大佬可以在屏幕下方指出來多多指導,希望可以幫到大家。
4. 如何快速判斷伺服器是否被惡意入侵
而國內網路很大一部分的垃圾流量(惡意CC攻擊、ddos攻擊、垃圾郵件、垃圾彈窗廣告等)也都是以這類被盜用入侵的IDC產品為土壤而滋生的。
由此可見,對於自身的IDC產品做好安全防護及快速的故障排查是一個相當有必要的事情。不僅能提高自身產品的附加價值。提高產品的利用率。提升品牌形象,更能給客戶一個良好的服務面貌。
在此,筆者對常見的託管租用使用windows server
第一步、檢查系統組及用戶
我的電腦——右鍵管理——本地用戶和組——組
檢查administrators組內是否存在除開管理員用戶賬號(默認為administrator)以外的其他用戶賬號
檢查users組內是否存在非系統默認賬號或管理員指定賬號
本地用戶和組——用戶
檢查是否存在未做注釋或名稱異常的用戶
一般由於軟體後本被入侵的伺服器都會在administrators組內添加一個admin$或相類似的用戶,一旦發現該類用戶就應該首先避免運行任何程序,停止所有服務並及時使用殺毒軟體對伺服器關鍵區域(啟動駐存、C盤
系統文件夾 用戶自定義文件夾)進行完整掃描,避免木馬的二次交叉感染。
第二步,檢查管理員賬戶是否存在異常的登陸和注銷記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件(576為系統登陸日誌 528為系統注銷日誌)
查看具體事件信息內容。內容內會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP(ip138 你懂的)
第三步、檢查伺服器是否存在異常的登陸啟動項
開始菜單——所有程序——啟動
該目錄在默認情況下應該是一個空目錄,但是如果出現一個異常的.bat程序的話就應該全盤掃描伺服器以確認伺服器安全性
開始菜單——運行msconfig啟動菜單欄中是否存在命名異常的啟動項目,例如A.EXE
XXXXI1SU2.EXE等,一旦發現全盤掃描伺服器以確認伺服器安全性
開始菜單——運行regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個項目下是否存在異常
一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定伺服器的安全環境是無故障的
5. 如何判斷伺服器是否被CC攻擊
CC攻擊有一定的隱蔽性,那如何確定伺服器正在遭受或者曾經遭受CC攻擊呢?可以通過以下三個方法來確定。
1、命令行法
一般遭受CC攻擊時,Web伺服器會出現80埠對外關閉的現象,因為這個埠已經被大量的垃圾數據堵塞了正常的連接被中止了。可以通過在命令行下輸入命令netstat-an來查看,SYN_RECEIVED是TCP連接狀態標志,意思是正在處於連接的初始同步狀態,表明無法建立握手應答處於等待狀態。這就是攻擊的特徵,一般情況下這樣的記錄一般都會有很多條,表示來自不同的代理IP的攻擊。
2、批處理法
上述方法需要手工輸入命令且如果Web伺服器IP連接太多看起來比較費勁,可以建立一個批處理文件,通過該腳本代碼確定是否存在CC攻擊。
腳本篩選出當前所有的到80埠的連接。當感覺伺服器異常時就可以雙擊運行該批處理文件,然後在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的到伺服器的連接,那就基本可以確定該IP正在對伺服器進行CC攻擊。
3、查看系統日誌
web日誌一般在C:目錄下,該目錄下用類似httperr1.log的日誌文件,這個文件就是記錄Web訪問錯誤的記錄。管理員可以依據日誌時間屬性選擇相應的日誌打開進行分析是否Web被CC攻擊了。
默認情況下,web日誌記錄的項並不是很多,可以通過IIs進行設置,讓web日誌記錄更多的項以便進行安全分析。其操作步驟是:開始-管理工具打開Internet信息伺服器,展開左側的項定位到相應的Web站點,然後右鍵點擊選擇屬性打開站點屬性窗口,在網站選項卡下點擊屬性按鈕,在日誌記錄屬性窗口的高級選項卡下可以勾選相應的擴展屬性,以便讓Web日誌進行記錄。比如其中的發送的位元組數、接收的位元組數、所用時間這三項默認是沒有選中的,但在記錄判斷CC攻擊中是非常有用的,可以勾選。另外,如果你對安全的要求比較高,可以在常規選項卡下對新日誌計劃進行設置,讓其每小時或者每一天進行記錄。為了方便日後進行分析時好確定時間可以勾選文件命名和創建使用當地時間。