手动检测分析DDos攻击
一般表现:网络正常情况下,网站不可正常访问,排除线路和硬件的故障后,进而发现网页打不开,或打开连接服务器困难,内网可以访问,外网用户无法打开
可判断为DDos攻击,可进行下面的判定:
1、SYNFLOOD攻击判定:
a、可以查看“网上邻居-右键属性-双击网卡查看每秒受到的数据包大于500”
b、命令行输入:netstat -na 观察到大量的SYN_RECEIVED连接状态
c、网线插上后,服务器立即假死无法操作,拔出后可恢复,有时需要重启计算机才可恢复
如出现abc三种情况基本可确定为SYNFLOOD方式的DDos拒绝服务攻击
2、TCP多连接的攻击判定:
命令行输入:netstat -na,若 观察到每个IP地址与本机的服务端口建立了几十个以上的ESTABLISHED状态的连接则可判定为TCP多连接的分布式拒绝服务攻击 |
