ddos和洪水攻击_洪水式ddos攻击检测

有关DDOS洪水攻击处理

1， Windows支持的最低MTU是68字节，windows不限定上界，但是网络限定上界，一般来说以太网也就是网线的MTU是1500左右，你可以设置成1600。

2，这是由DDOS攻击的发起方决定的，一般来说为了增加被攻击者的负担，都会把数据包设置得尽量小，比如68字节。当然攻击方也可能没注意这个事情，设置成上限就是1500字节左右。

3，你在你的电脑右下角，双击网络图标，也就是两个电脑那个图标，在"活动"那个框里面会显示目前收到和发出的数据包，你可以开机10分钟，然后看一下数字，把收发的数据包除以10，就是每分钟处理的数据包了。

如果你的机器被DDOS攻击，我建议你使用软件防火墙来制止这些攻击，电脑自带的软件估计不太好使。

怎么判断服务器是否被DDoS恶意攻击？

怀疑遇到攻击情况，首先要看看服务器上面的情况，首先top一下，看看服务器负载，如果负载不高，那么基本可以判断不是cc类型的攻击，再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下网络连接的情况，会得到下面这些结果：

TCP/IP协议使用三次握手来建立连接，过程如下：

1、第一次握手，客户端发送数据包syn到服务器，并进入SYN_SEND状态，等待回复

2、第二次握手，服务器发送数据报syn/ack，给客户机，并进入SYN_RECV状态，等待回复

3、第三次握手，客户端发送数据包ACK给客户机，发送完成后，客户端和服务器进入ESTABLISHED状态，链接建立完成

如果ESTABLISHED非常地高，那么可能是有人在恶意攻击，进一步判断，可以把下面命令保存为脚本执行一下：

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/evilip

done

如果输出了多个结果，那么可能表示有人在企图进行DDOS攻击，想用TCP连接来拖死你的服务器，输出的ip就是发出请求的服务器地址，并且保存在了/tmp/evilip里面。如果没有结果，可以调整一下阈值，把50改成40试一试，对策我们后面再说，这里只讲判断。如果SYN_RECV非常高，那么表示受到了SYN洪水攻击。

SYN洪水是利用TCP/IP协议的设计缺陷来进行攻击的，采用一些策略以及配置可以适当的降低攻击的影响，但并不能完全消除。

sysctl -w net.ipv4.tcp_syncookies=1

sysctl -w net.ipv4.tcp_syn_retries = 0

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

tcp_syncookies设置为1表示启用syncookie，可以大大降低SYN攻击的影响，但是会带来新的安全缺陷。

tcp_syn_retries 表示syn重试次数，重传次数设置为0，只要收不到客户端的响应，立即丢弃该连接，默认设置为5次。

tcp_max_syn_backlog表示syn等待队列，改小这个值，使得SYN等待队列变短，减少对系统以及网络资源的占用。

TCP连接攻击算是比较古老的了，防御起来也相对比较简单，主要是利用大量的TCP连接来消耗系统的网络资源，通常同一个IP会建立数量比较大的TCP连接，并且一直保持。应对方法也比较简单，可以将以下命令保存为脚本，定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/banip

/sbin/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息，方面进行反渗透以及证据保存等等。为了更好地加固系统，我们可以使用iptables来限制一下，单个ip的最大连接数。

当攻击者的资源非常的多，上面这些方法限制可能就没有什么防护效果了，面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了，一般来说多机负载的成本可能更高，所以大部分人还是选择墨者高防硬防产品来防御。

怎样检侧到受到DDOS攻击

要检测DDoS攻击程序的存在，可以有2种方法：

1、通常，我们可以使用文件系统扫描工具来确定在服务器文件系统上是否存在已知的DDoS攻击程序。

同病毒软件一样，每当有新的DDoS发明出来，当前的DDoS工具就将过时，或者它对现存的DDoS进行修改而避开检查。所以，要选择最近更新的扫描工具才能检测到最新的DDoS攻击程序。

FBI提供了一个工具叫做"find_ddos"，用于检测一些已知的拒绝服务工具，包括trinoo进程、trinoo主人、加强的tfn进程、tfn客户程序、tfn2k客户程序和tfn-rush客户程序。Find_ddos可以从以下地址下载：

。

请注意，FBI的这个工具并不能保证捕获所有的DDoS工具。如果侵入者安装了一个根文件包，那么find_ddos程序就有可能无法处理它。

另外，站点也提供一个免费的扫描工具。当然还有一些商务工具也可以使用。

2、还可使用手工方法对起源于本地网络中的DDoS活动进行双重检查。

在Web服务器与Internet或者上游ISP连接之间的防火墙上建立一个滤波器，以寻找spoofed (哄骗)信息包，也就是那些不是从你自己的网络上生成的信息包。这就是所谓的出口过滤。如果在你的网络上正在生成spoofed信息包，那么这很可能是一个DDoS程序生成的。然后跟踪这些spoofed信息的源头，将计算机离线开始清理工作。

屏蔽经常受到远程控制而受到威胁的端口，比如37337。

为了对所有的变化都进行研究并采取相应的措施，建议使用nmap 或saint这样的工具经常对网络的开放端口进行扫描。Nmap，即Network Mapper，是Linux下的网络扫描和嗅探工具包，它不仅可以帮助网管人员深入探测UDP或TCP端口，直至主机所使用的操作系统，还可以将所有探测结果记录到各种格式的日志中，为系统安全服务。Info World这样评价Nmap：如果你的目的是在40000英尺高度上看看你的网络，那基于Windows的端口扫描工具就足够了，但是如果你真的关心你的网络安全，并努力想找到那些可能被侵入者发现的系统漏洞，那你最好花点时间去安装并使用一个Linux工具--Nmap。SAINT是一个基于SATAN的安全评估工具，它能定期认证并扫描所有远程可探测漏洞，包括以下特点：防火墙扫描，从CERTCIAC的公告来更新安全检查，严厉的4级（红、黄、褐、绿）警告和一个有很多HTML特点的界面。