艾銻知識—IT安全運維 | DDOS報文檢測

2020-04-26 14:47 作者：艾銻無限 瀏覽量：

 
在網絡安全領域，基于拒絕服務型的攻擊是危害最大的。作為網絡安全運維在發現服務器莫名其妙響應變慢后需要進行安全檢測，看服務器是否遭到攻擊。而有效的檢查方法就是網絡數據報文檢測。 ddos有很多種，一種是Flood(像潮水一般，以力量取勝），還有是Malform(畸形報文，利用系統協議漏洞，以巧取勝）還有一種放大反射攻擊，例如我使用一個偽造IP的報文去訪問dns服務器，dns服務器會根據

報文里面的信息進行響應，dns服務器會向該ip發送信息，從而達到占用寬帶的目的。

Syn泛洪攻擊：它利用了tcp的三次握手機制，當服務端接收到一個syn請求時，協議軟件必須利用一個監聽隊列將該連接保存一定時間。向服務端不停地發送syn,但是不響應syn+ack，這樣消耗服務端的資源，然

后服務端就不會響應正常用戶的請求，從而達到拒絕服務攻擊。使用netstat -an -p tcp查看，如果SYN_RECV狀態的連接非常多，說明有可能遭受攻擊。但是也有許多防御syn攻擊的辦法，例如首包丟棄，惡意

黑名單，或者建立連接前使用一個門衛，也可以直接修改系統內核參數，在一定程度上進行保護。

net.ipv4.tcp_syncookies = 1

40kpps的流量就已經具有破壞力了。還有應用層的HTTP層次的ddos,其實只要能夠達到拒絕服務的目的，都可以稱之為ddos

ddos測試檢測

當你發起了ddos攻擊，除了使用tcpdump/wireshark進行查看網卡上的包之外，還可以通過一些其他方法來衡量系統狀態。

1.vnstat -l -i eth 使用vnstat查看這段時間網卡收發包的個數和流量。

2.使用top命令查看進程CPU百分比

3.使用free查看是否有內存泄漏

4.使用lsof查看是否有句柄泄漏

5.使用df -h查看文件目錄空間


6.查看關鍵進程是否重啟 記錄進程pid或者是查看進程開始時間。

7.查看是否有僵尸進程等 ps aux查看進程的狀態， STAT列為Z的表示為僵尸進程