怎么看服务器被攻击

❶ 如何判断自己的服务器是否被流量攻击

酷酷云为您解答~
1、检查网站后台服务器发现大量无用的数据包；
2、服务器主机上有大量等待的TCP连接；
3、网络流量出现异常变化突然暴涨；
4、大量访问源地址是虚假的；
5、当发现Ping超时或丢包严重时，且同一交换机上的服务器也出现了问题，不能进行正常访问；
流量攻击如何防御？
1.扩充服务器带宽
服务器的网络带宽直接决定服务器承受攻击能力。所以在选购服务器时，可以加大服务器网络带宽。
2.使用硬件防火墙
部分硬件防火墙基于包过滤型防火墙修改为主，只在网络层检查数据包，若是DDoS攻击上升到应用层，防御能力就比较弱了。
3.选用高性能设备
除了使用硬件防火墙。服务器、路由器、交换机等网络设备的安全性能也需要有所保证。
4.负载均衡
负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性，对DDoS流量攻击和CC攻击都很见效。
5.筛查系统漏洞
要定期筛查系统漏洞，及早发现系统漏洞，及时安装系统补丁。同时针对重要信息（如系统配置信息）做好备份。
6.限制特定的流量
如遇到流量异常时，应及时检查访问来源，并做适当的限制。以防止异常、恶意的流量来袭。主动保护网站安全。
7.选购高防服务器
高防服务器可以帮助网站拒绝服务攻击，而且高防服务器可以定时扫描现有的网络主节点，还可查找可能存在的安全漏洞的服务器类型∞
酷酷云服务器为您诚意解答，服务器租户的选择，酷酷云值得信赖。

❷ 如何快速判断服务器是否遭受CC攻击

CC攻击有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC攻击呢?可以通过以下三个方法来确定。

1、命令行法

一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令netstat-an来查看，SYN_RECEIVED是TCP连接状态标志，意思是正在处于连接的初始同步状态，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。

2、批处理法

上述方法需要手工输入命令且如果Web服务器ip连接太多看起来比较费劲，可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。

脚本筛选出当前所有的到80端口的连接。当感觉服务器异常时就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。

3、查看系统日志

web日志一般在C:目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下，web日志记录的项并不是很多，可以通过IIs进行设置，让web日志记录更多的项以便进行安全分析。其操作步骤是：开始-管理工具打开Internet信息服务器，展开左侧的项定位到相应的Web站点，然后右键点击选择属性打开站点属性窗口，在网站选项卡下点击属性按钮，在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性，以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在常规选项卡下对新日志计划进行设置，让其每小时或者每一天进行记录。为了方便日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。

❸ 服务器被攻击了怎么办

1、换高防IP或切换或者高防服务器，流量攻击进入高防ip将异常流量清洗后，保留正常流量转到我们正常服务器ip。
2、网站业务添加cdn，预算充足的情况下可以考虑添加cdn，但是大流量的攻击可能产生高额cdn费用，需要酌情考虑。
3、定期排查服务器安全漏洞，及时修补服务器漏洞，防止被黑客利用漏洞进行服务器攻击。
4、设置防火墙
防火墙是可以在部分攻击上打到抵御的效果的，禁用一些不用的端口防止非法分子利用其端口进行攻击。同时可以通过防火墙设置把攻击重定向。
5、提升服务器配置
一般的攻击如果不是非常猛烈，可以适当提升服务器带宽，cpu和内存，保证资源不被攻击消耗殆尽。
6、通过反向路由进行ip真实性检测，禁用非真实ip也可以防御攻击。
7、限制SYN/ICMP流量
在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能占有的最高频宽，大量的异常流量那基本上就是攻击了。
8、过滤所有RFC1918
IP地址RFC1918 IP地址是内部网的IP地址，过滤攻击时伪造的大量虚假内部IP，也是能减轻攻击DDOS攻击。

❹ 如何看linux服务器是否被攻击

以下几种方法检测linux服务器是否被攻击：x0dx0a1、检查系统密码文件 x0dx0a首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 x0dx0a2、查看一下进程，看看有没有奇怪的进程 x0dx0ax0dx0a重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s x0dx0a/tmp/.xxx之类的进程，着重看inetd x0dx0a_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中x0dx0a也仅仅是inetd x0dx0a_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。x0dx0a3、检查系统守护进程 x0dx0a检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 x0dx0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。x0dx0a4、检查网络连接和监听端口 x0dx0a输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 x0dx0a输入netstat _rn，查看本机的路由、网关设置是否正确。 x0dx0a输入 ifconfig _a，查看网卡设置。 x0dx0a5、检查系统日志 x0dx0a命令last | x0dx0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系x0dx0a统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现x0dx0asyslog被非法动过，那说明有重大的入侵事件。 x0dx0a在linux下输入ls _al /var/log x0dx0a检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 x0dx0a6、检查系统中的core文件 x0dx0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能x0dx0a100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core x0dx0a_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。x0dx0a7、检查系统文件完整性 x0dx0a检查文件的完整性有多种方法，通常通过输入ls _l x0dx0a文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V x0dx0a`rpm _qf 文件名` x0dx0a来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man x0dx0arpm来获得更多的格式。

❺ 如何查看服务器是否被ddos攻击

先看下网站能不能打开，然后让服务器运营商在端口查看下流量的异常情况。具体加下 口吧，320006167

❻ 如何查看服务器被攻击日志

1.window+R,打开运行窗口
2.输入:mstsc
3.输入相关服务器信息连上
4.找到“安全狗IIS版本”(没有同学可以去下载一个,可以帮助防护服务器安全)
5.打开,找到“防护日志”打开就可以看到

❼ 怎么判断服务器是否被DDoS恶意攻击

怀疑遇到攻击情况，首先要看看服务器上面的情况，首先top一下，看看服务器负载，如果负载不高，那么基本可以判断不是cc类型的攻击，再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下网络连接的情况，会得到下面这些结果：

TCP连接攻击算是比较古老的了，防御起来也相对比较简单，主要是利用大量的TCP连接来消耗系统的网络资源，通常同一个IP会建立数量比较大的TCP连接，并且一直保持。应对方法也比较简单，可以将以下命令保存为脚本，定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 50) {print $2}}'`

do

echo $i

echo $i >> /tmp/banip

/sbin/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息，方面进行反渗透以及证据保存等等。为了更好地加固系统，我们可以使用iptables来限制一下，单个ip的最大连接数。

当攻击者的资源非常的多，上面这些方法限制可能就没有什么防护效果了，面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了，一般来说多机负载的成本可能更高，所以大部分人还是选择墨者高防硬防产品来防御。

❽ 如何判断是否受到DDOS网络攻击

你可以网络一下360网站卫士，可以进行防护和处理

❾ 服务器被攻击有什么表现

服务器被攻击一般有两种比较常见的方式：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这种方式就是消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪;

另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器

❿ 如何查看服务器是否被攻击

netstat
-anp
grep
'tcp\udp'
awk
'{print
$5}'
cut
-d:
-f1
sort
uniq
-c
sort
–n
该命令将显示已登录的是连接到服务器的最大数量的IP的列表。
DDOS变得更为复杂，因为攻击者在使用更少的连接，更多数量IP的攻击服务器的情况下，你得到的连接数量较少，即使你的服务器被攻击了。有一点很重要，你应该检查当前你的服务器活跃的连接信息，执行以下命令：
netstat
-n
grep
:80
wc
–l