艾銻知識—IT安全運維 | DDOS報文檢測

2020-04-26 14:47 作者：艾銻無限 瀏覽量：

 
在網絡安全領域，基于拒絕服務型的攻擊是危害最大的。作為網絡安全運維在發(fā)現(xiàn)服務器莫名其妙響應變慢后需要進行安全檢測，看服務器是否遭到攻擊。而有效的檢查方法就是網絡數據報文檢測。 ddos有很多種，一種是Flood(像潮水一般，以力量取勝），還有是Malform(畸形報文，利用系統(tǒng)協(xié)議漏洞，以巧取勝）還有一種放大反射攻擊，例如我使用一個偽造IP的報文去訪問dns服務器，dns服務器會根據

報文里面的信息進行響應，dns服務器會向該ip發(fā)送信息，從而達到占用寬帶的目的。

Syn泛洪攻擊：它利用了tcp的三次握手機制，當服務端接收到一個syn請求時，協(xié)議軟件必須利用一個監(jiān)聽隊列將該連接保存一定時間。向服務端不停地發(fā)送syn,但是不響應syn+ack，這樣消耗服務端的資源，然

后服務端就不會響應正常用戶的請求，從而達到拒絕服務攻擊。使用netstat -an -p tcp查看，如果SYN_RECV狀態(tài)的連接非常多，說明有可能遭受攻擊。但是也有許多防御syn攻擊的辦法，例如首包丟棄，惡意

黑名單，或者建立連接前使用一個門衛(wèi)，也可以直接修改系統(tǒng)內核參數，在一定程度上進行保護。

net.ipv4.tcp_syncookies = 1

40kpps的流量就已經具有破壞力了。還有應用層的HTTP層次的ddos,其實只要能夠達到拒絕服務的目的，都可以稱之為ddos

ddos測試檢測

當你發(fā)起了ddos攻擊，除了使用tcpdump/wireshark進行查看網卡上的包之外，還可以通過一些其他方法來衡量系統(tǒng)狀態(tài)。

1.vnstat -l -i eth 使用vnstat查看這段時間網卡收發(fā)包的個數和流量。

2.使用top命令查看進程CPU百分比

3.使用free查看是否有內存泄漏

4.使用lsof查看是否有句柄泄漏

5.使用df -h查看文件目錄空間


6.查看關鍵進程是否重啟 記錄進程pid或者是查看進程開始時間。

7.查看是否有僵尸進程等 ps aux查看進程的狀態(tài)， STAT列為Z的表示為僵尸進程