如何判斷伺服器被攻擊

❶ 如何判斷伺服器是否被CC攻擊

CC攻擊有一定的隱蔽性，那如何確定伺服器正在遭受或者曾經遭受CC攻擊呢?可以通過以下三個方法來確定。

1、命令行法

一般遭受CC攻擊時，Web伺服器會出現80埠對外關閉的現象，因為這個埠已經被大量的垃圾數據堵塞了正常的連接被中止了。可以通過在命令行下輸入命令netstat-an來查看，SYN_RECEIVED是TCP連接狀態標志，意思是正在處於連接的初始同步狀態，表明無法建立握手應答處於等待狀態。這就是攻擊的特徵，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的攻擊。

2、批處理法

上述方法需要手工輸入命令且如果Web伺服器IP連接太多看起來比較費勁，可以建立一個批處理文件，通過該腳本代碼確定是否存在CC攻擊。

腳本篩選出當前所有的到80埠的連接。當感覺伺服器異常時就可以雙擊運行該批處理文件，然後在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的到伺服器的連接，那就基本可以確定該IP正在對伺服器進行CC攻擊。

3、查看系統日誌

web日誌一般在C:目錄下，該目錄下用類似httperr1.log的日誌文件，這個文件就是記錄Web訪問錯誤的記錄。管理員可以依據日誌時間屬性選擇相應的日誌打開進行分析是否Web被CC攻擊了。

默認情況下，web日誌記錄的項並不是很多，可以通過IIs進行設置，讓web日誌記錄更多的項以便進行安全分析。其操作步驟是：開始-管理工具打開Internet信息伺服器，展開左側的項定位到相應的Web站點，然後右鍵點擊選擇屬性打開站點屬性窗口，在網站選項卡下點擊屬性按鈕，在日誌記錄屬性窗口的高級選項卡下可以勾選相應的擴展屬性，以便讓Web日誌進行記錄。比如其中的發送的位元組數、接收的位元組數、所用時間這三項默認是沒有選中的，但在記錄判斷CC攻擊中是非常有用的，可以勾選。另外，如果你對安全的要求比較高，可以在常規選項卡下對新日誌計劃進行設置，讓其每小時或者每一天進行記錄。為了方便日後進行分析時好確定時間可以勾選文件命名和創建使用當地時間。

❷ 如何判斷伺服器是被攻擊還是在攻擊

(1)CC類攻擊
A.網站出現service unavailable提示
B.CPU佔用率很高
C.網路連接狀態：netstat –na,若觀察到大量的ESTABLISHED的連接狀態 單個IP高達幾十條甚至上百條
D.外部無法打開網站,軟重啟後短期內恢復正常,幾分鍾後又無法訪問。
(2)SYN類攻擊
A.CPU佔用很高
B.網路連接狀態：netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態
(3)UDP類攻擊
A.觀察網卡狀況 每秒接受大量的數據包
B.網路狀態：netstat –na TCP信息正常
(4)TCP洪水攻擊
A.CPU佔用很高
B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態 單個IP高達幾十條甚至上百條
如不幸被當肉雞去攻擊別人，就查看您的伺服器是否有向別的伺服器不斷發送文件。