如何判断服务器是否被DDOS攻击？ DDOS攻击的防御和应对办法

一、什么是DDoS攻击

DDoS是Distributed Denial of Service的缩写，即分布式拒绝服务，DDoS攻击是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击。

二、DDoS攻击主要有两种攻击方式

一种是针对网络带宽的攻击，通过大量”肉鸡“模拟真实用户访问，占用网络带宽，导致真正的用户无法正常访问；

另外一种是针对服务器主机的攻击，通过大量的攻击包占据服务器主机的CPU、内存、网络连接等，导致服务器主机性能负载崩溃，而无法提供正常访问。

三、被攻击的10种故障现象

3.1、云监控监控到带宽超限，拥塞率100%

3.2、ping丢包率高

3.3、网络抓包发现大量无用的数据包

3.4、网络流量图突增，带宽跑平

3.5、网络连接数暴增，netstat -an查到大量TCP连接状态为SYN_RECV、TIME_WAIT、FIN_WAIT

# netstat -an|awk '/tcp/ {print $6}'|sort|uniq –c

16 CLOSING         // CLOSING：两边同时尝试关闭
13 ESTABLISHED     // ESTABLISHED：正常数据传输状态
29800 FIN_WAIT1    // FIN_WAIT1：应用说它已经完成
13000 FIN_WAIT2    // FIN_WAIT2：另一边已同意释放
9 LAST_ACK          // LAST_ACK：等待所有分组死掉
7 LISTEN             // LISTEN：服务器在等待进入呼叫
103089 SYN_RECV    // SYN_RECV：一个连接请求已经到达，等待确认
520400 TIME_WAIT   // TIME_WAIT：另一边已初始化一个释放

3.6、无法连接服务器

3.7、网站无法打开

3.8、CPU占用100%、内存耗尽

linux系统：Top命令显示系统CPU占用达到100%。

Windows系统任务管理器：

3.9、在Anti-ddos控制台查询到该IP的流量清洗

如果能查到该IP的清洗记录和封堵记录，那确定是被DDOS攻击了。

3.10、服务器系统日志和应用日志量暴增

服务器nginx日志量短时间内暴增：

综上确定服务器被DDOS CC攻击了。

四、防御和应对办法

4.1、因DDOS是资源耗尽型攻击，此时要调整带宽、增加CPU内存规格，优化系统参数，以提高服务器性能

参考《sysctl系统优化参数》

https://bbs.huaweicloud.com/blogs/195491

4.2、设置anti-ddos流量清洗，调整阀值，默认是120M，对于攻击流量进行清洗

请参考《配置Anti-DDoS防护策略》

https://support.huaweicloud.com/usermanual-antiddos/antiddos_01_0013.html

4.3、针对大带宽攻击，购买DDOS高防，拦截DDOS攻击

请参考《网站类业务快速接入DDoS高防》 https://support.huaweicloud.com/qs-aad/

4.4、购买WAF防火墙、设置规则，拦截CC攻击

请参考《WAF防火墙配置CC攻击防护规则》

https://support.huaweicloud.com/usermanual-waf/waf_01_0009.html