|
ddos攻击一般用高速大流量很小的包填满你的网卡缓存,利用tcp三次握手的原理来攻击,因为tcp三次握手不可能完成,导致server上的syn包累积,httpserver因等待这些syn状态的包响应直到它超时而停止服务,所以通常server的负载会比平时正常时还要低。
除非你的apache是一些有dos攻击缺陷的老版本,否则应该不会出现cpu负载100%的情况。你最好查查看是什么应用负载高。
另一个最简单判断syn攻击的方法是
netstat -an|grep SYN|wc
看看有多少个等待中的SYN包
另外还能出现你这种cpu负载过高的dos现象,一个可能存在于inetd服务.你有没有开对外的inetd监听端口服务
netstat -an|grep SYN
分析一下主要是那个网段的ip,
临时把这些主要网段format掉,效果还不错,最好放到前端router上做,否则本机的中断过高,应用服务的性能下降的还是很厉害的。
如果你比较有钱,可以考虑我前面提到的第三种办法,最好是可以临时租借一下。可以找一些网络安全专家咨询一下,要不就安静的坐下来,等它停下来。
dmesg 后显示这些。
:72:60:bd:f7 on vr0
arp: 218.4.147.25 moved from 00:13:72:60:bd:f7 to 00:16:c7:89:91:40 on vr0
arp: 218.4.147.25 moved from 00:16:c7:89:91:40 to 00:13:72:60:bd:f7 on vr0
arp: 218.4.147.25 moved from 00:13:72:60:bd:f7 to 00:16:c7:89:91:40 on vr0
arp: 218.4.147.25 moved from 00:16:c7:89:91:40 to 00:13:72:60:bd:f7 on vr0
arp: 218.4.147.25 moved from 00:13:72:60:bd:f7 to 00:16:c7:89:91:40 on vr0
知道了~是有人也设置了相同的IP.汗哦
|
