新睿云

> DDoS高防云服务器 > ddos攻击?通过日志定位攻击者IP

ddos攻击?通过日志定位攻击者IP

作者/来源:新睿云小编 发布时间:2019-07-26

DDoS攻击比其他攻击更有效,因为它们是使用数千台计算机的协同攻击。使用暴力密码攻击或SQL注入来渗透资源并不困难。后一类攻击可以引发警报,但是DDoS攻击很快就会发生,而不会发出通知。迄今为止最大的DDoS攻击是在BBC上进行的,其发送速度超过600Gbps。

DDoS是如何组织的?

在我们找到识别DDoS攻击的方法之前,了解它们的组织和工作方式非常重要。几十年前,一些机器足以使Web服务器崩溃。现在,凭借扩展的带宽和更快的计算机资源,攻击者需要数千台计算机才能使服务器充满流量。

攻击者使用僵尸网络,僵尸网络包含数千个被黑客入侵的个人电脑或服务器的僵尸机器。这些PC上安装了恶意软件,使攻击者能够从一个远程位置控制机器。攻击者可以通过网络钓鱼电子邮件中包含的恶意软件或使用名为“Java逐页”的网页在远程计算机上安装恶意软件。如果攻击者可以欺骗用户允许Java代码运行,他可以感染机器与各种rootkit和特洛伊木马。

受感染的僵尸机器可以完全控制黑客。当黑客准备好进行攻击时,他会发出大量的僵尸机器信号来淹没特定目标。对于结构良好的基础架构,黑客可能会失败。但是,大多数攻击在某种程度上都会成功,无论是损害服务性能还是破坏安全性。

黑客在他们使用的DDoS类型中也有几种选择。SYN攻击最常用于大型攻击。

通过较小的攻击,公司可以增加更多的带宽和服务器资源,但DDoS攻击的带宽和持续时间会不断增加。小型站点所有者只购买允许几千个并发连接的托管服务,但攻击者可以使用有效的僵尸网络模拟100,000个连接。

如果想抵挡DDoS攻击可以阅读《防患于未然——网站为何容易被ddos攻击,提高云服务器安全性刻不容缓

如何检测对云服务器的主动攻击

DDoS攻击很快就会开始破坏服务器上的性能。您遭受攻击的第一个线索是服务器崩溃。使用IIS,服务器通常会返回503“服务不可用”错误。它通常会间歇性地显示此错误,但是大量攻击会导致所有用户的永久503服务器响应。

另一个提示是服务器可能不会完全崩溃,但服务对于生产而言变得太慢。提交表单甚至呈现页面可能需要几分钟时间。

无论您是倾向于服务器受到攻击还是只是对其统计数据感到好奇,您都可以使用Netstat开始调查。Netstat是包含在任何Windows操作系统中的实用程序。

打开Windows命令提示符并键入“netstat -an。”标准输出应如下所示:

日志1

上图说明了服务器的外观。您会看到连接到特定端口的多个不同IP地址。现在看一下如果服务器受到攻击,DDoS攻击会是什么样子。

日志2

我们在文本文件中模拟了一个示例,因为我们无法从Netstat获取示例输出。

此屏幕截图的内容是相同的IP连接到连续的端口,并且连接超时。我们只展示了一小部分,但真正的DDoS攻击应该显示数百个连接(有时数千个)。

一旦确认您正在进行DDoS攻击,就可以查看服务器日志了。您可以从Microsoft IIS中提取原始日志,也可以使用日志分析器。日志分析器为您的Web流量提供可视详细信息。在此示例中,我们拥有至少一个攻击者的IP地址,但我们需要查看大部分攻击者。新睿云提供高防云服务器,可以抵抗DDoS攻击,并且能轻松分析DDoS日志,经过大数据AI分析,还能对攻击者进行反制,是目前市场上技术最先进的技术厂商之一了。

new year
在线客服   
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待