检查DDoS网站：什么是DDoS？网站DDoS或拒绝服务攻击是一种使用一个或多个IP地址的协同攻击，旨在通过使其服务器无法访问来削弱网站。这是通过使服务器资源过载并耗尽所有可用连接和带宽来完成的。就像开车一样，如果车流量太大，你从A点到B点的旅行时间就会变慢。

通过用超出其处理能力的连接淹没服务器，服务器变得过载，无法处理合法请求。即使是大型服务器也无法处理遭受DDoS攻击的网站所能带来的连接数。

虽然实施DDoS攻击的方式有很多种，从HTTP泛洪到慢速长连接，但绝大多数都需要直接连接到您的服务器。其中很多。好消息是，由于这些连接是活跃的，您很可能会看到它们正在建立。使用几个简单的命令，您不仅可以确定网站是否正在遭受DDoS攻击，还可以获得帮助缓解这些攻击所需的信息。

如何检查网站是否存在DDoS？

如果您担心您的服务器可能被黑客入侵，您的网站可能受到DDoS攻击，您需要做的第一件事就是查看您服务器的负载。

可接受的负载是多少？这取决于您的CPU资源或可用线程。通常，规则是每个线程一分。

要确定服务器的当前负载，可以使用grep/proc/cpuinfo|.命令wc-l命令，将返回逻辑处理器（线程）的数量。在DDoS攻击期间，您可能会看到负载是您应有的最大负载的两倍、三倍甚至更高。

使用下面的两个命令返回服务器正常运行时间和负载。

负载平均值显示以下时间段的负载：1分钟平均值、5分钟平均值和15分钟平均值。在这种情况下，大于7的平均负载可能是一个问题。

与上面的示例不同，有时您的服务器会通过后端连接（如IPMI）响应良好，但在通过公共接口连接时仍然会很慢。要确定是否属于这种情况，您需要检查您的网络流量。

这可以使用多种工具之一来完成，包括nload、bmon、iftop、vnstat和ifstat。您的选择将取决于您的操作系统，但所有这些工具都可以通过您的包管理器（apt、yum等）安装。

当网站被DDoS攻击时，如何检查哪个IP连接到您的服务器

由于大多数DDoS攻击都需要连接到您的服务器，因此您可以检查并查看有多少IP地址以及哪些IP地址同时连接到您的服务器。

这可以使用netstat来确定，netstat是一个用于提供各种详细信息的命令。在这种情况下，我们只对建立连接的特定IP、IP的数量以及它们所属的子网感兴趣。要开始，请在终端中键入以下命令：

netstat-ntu|awk'{print$5}'|cut-d:-f1-s|sort|uniq-c|sort-nk1-r

此命令将返回降序排列哪些IP连接到您的服务器的列表以及每个IP有多少个连接。

结果还可能包含虚拟数据，这些数据将显示为非IP信息并且可能会被忽略。

查看结果，您应该会看到每个IP列出的连接数从1到大约50个不等。这对于正常流量来说很常见。如果您看到某些IP具有超过100个连接，则需要进行调查。

您可以查看已知IP、一个或多个服务器私有IP，甚至您自己的多个连接私有IP。在大多数情况下，它们可以忽略，因为它们仍然很正常。当您看到具有数百或数千个连接的单个未知IP时，您应该担心，因为这可能是攻击的迹象。

当网站受到DDoS攻击时减轻攻击

要开始使用，请使用以下命令，将“ipaddress”替换为您要阻止的IP地址。

在服务器上阻止特定IP后，您可以使用以下命令交叉检查该IP是否已成功阻止：

您还可以通过输入以下命令使用iptables突出显示服务器上的IP地址：

iptables-AINPUT1-sIPADDRESS-jDROP/REJECT

输入这一系列命令后，您需要终止所有httpd连接并重新启动httpd服务。这可以通过键入以下内容来完成：

如果多个未知IP地址正在建立大量连接，则可以对所有被滥用的IP重复这些过程中的任何一个。

使用多个IP受DDoS影响的网站

虽然可以很容易地诊断和修复来自生成多个连接的单个IP的拒绝服务攻击，但防止网站受到DDoS攻击变得更加复杂，因为攻击者使用更少的连接，更多的连接超过更多的攻击IP。

在这些情况下，即使网站受到DDoS攻击，您也会看到更少的个人连接。随着物联网(IoT)的兴起，此类攻击变得越来越普遍。通过渗透和使用具有Internet连接的“智能”设备、设备和工具，恶意行为者建立了一个可用IP网络，称为僵尸网络，当网站由DDoS协调针对特定目标时，能够部署在攻击中。

那么，如果您看到大量未知IP仅建立单一连接，您该怎么办？在这种情况下，很难确定这是有机流量还是协同攻击。

您需要确定这些连接是否来自公共子网：公共是相同的/16或/24。您可以使用接下来的两个命令列出包含IP的子网。已连接以及有多少IP每个子网。

要从同一/16子网(xxx.xxx.0.0)中查找IP，请使用：

netstat-ntu|awk'{print$5}'|cut-d:-f1-s|cut-f1,2-d'.'|sed's/$/.0.0/'|sort|uniq-c|sort-nk1-r

输入时，此命令将显示以相同的两个八位字节开头的任何IP：即。192.168.xxx.xxx。

要从同一/24子网(xxx.xxx.xxx.0)中查找IP，请使用：

netstat-ntu|awk'{print$5}'|cut-d:-f1-s|cut-f1,2,3-d'.'|sed's/$/.0/'|sort|uniq-c|sort-nk1-r

输入时，此命令将显示以相同的三个八位字节开头的任何IP：即。192.168.1.xxx。

当您的网站遭受多IPDDoS攻击时，一旦确定您是否真的受到攻击，缓解它的步骤与上面使用的针对单个IP攻击的步骤相同，只是复制到多个IP。

这些技术只是一些可用于检查可能的攻击的工具。虽然可以使用更高级的工具，但这些方法可以提供快速简便的结果来确定您是否正在遭受DDoS攻击。

即使没有被黑客攻击，这些命令提供的信息也很有用，熟悉它们可以帮助增强任何管理员的工具。

与DDoS攻击相关的风险和成本比以往任何时候都大。不幸的是，随着僵尸网络的泛滥，即使验证了DDoS攻击，手动阻止成百上千个攻击IP也是极其困难的。在这些情况下，攻击一旦开始就很难停止。

出于这个原因，最好在DDoS攻击发生之前制定一个计划来应对它们。除了这里提到的方法之外，您可能还想考虑订阅在线提供的各种DDoS保护服务之一。热门选项包括Akamai、Verisign和Radware。