艾锑知识—IT安全运维 | DDOS报文检测

2020-04-26 14:47 作者：艾锑无限 浏览量：

 
在网络安全领域，基于拒绝服务型的攻击是危害最大的。作为网络安全运维在发现服务器莫名其妙响应变慢后需要进行安全检测，看服务器是否遭到攻击。而有效的检查方法就是网络数据报文检测。 ddos有很多种，一种是Flood(像潮水一般，以力量取胜），还有是Malform(畸形报文，利用系统协议漏洞，以巧取胜）还有一种放大反射攻击，例如我使用一个伪造IP的报文去访问dns服务器，dns服务器会根据

报文里面的信息进行响应，dns服务器会向该ip发送信息，从而达到占用宽带的目的。

Syn泛洪攻击：它利用了tcp的三次握手机制，当服务端接收到一个syn请求时，协议软件必须利用一个监听队列将该连接保存一定时间。向服务端不停地发送syn,但是不响应syn+ack，这样消耗服务端的资源，然

后服务端就不会响应正常用户的请求，从而达到拒绝服务攻击。使用netstat -an -p tcp查看，如果SYN_RECV状态的连接非常多，说明有可能遭受攻击。但是也有许多防御syn攻击的办法，例如首包丢弃，恶意

黑名单，或者建立连接前使用一个门卫，也可以直接修改系统内核参数，在一定程度上进行保护。

net.ipv4.tcp_syncookies = 1

40kpps的流量就已经具有破坏力了。还有应用层的HTTP层次的ddos,其实只要能够达到拒绝服务的目的，都可以称之为ddos

ddos测试检测

当你发起了ddos攻击，除了使用tcpdump/wireshark进行查看网卡上的包之外，还可以通过一些其他方法来衡量系统状态。

1.vnstat -l -i eth 使用vnstat查看这段时间网卡收发包的个数和流量。

2.使用top命令查看进程CPU百分比

3.使用free查看是否有内存泄漏

4.使用lsof查看是否有句柄泄漏

5.使用df -h查看文件目录空间


6.查看关键进程是否重启 记录进程pid或者是查看进程开始时间。

7.查看是否有僵尸进程等 ps aux查看进程的状态， STAT列为Z的表示为僵尸进程