DDoS的表现形式主要有两种,一种为流量DDoS,主要是针对网络带宽的DDoS,即大量DDoS包导致网络带宽被阻塞,合法网络包被虚假的DDoS包淹没而无法到达主机;另一种为资源耗尽DDoS,主要是针对服务器主机的DDoS,即通过大量DDoS包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
如何判断网站是否遭受了流量DDoS呢?可通过Ping命令来判断DDoS。若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量DDoS,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量DDoS。当然,这样DDoS的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来DDoS,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量DDoS,再一个流量DDoS的典型现象是,一旦遭受流量DDoS,会发现用远程终端连接网站服务器会失败。
相对于流量DDoS而言,资源耗尽DDoS的判断要容易一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽DDoS,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽DDoS。还有一种属于资源耗尽DDoS的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受DDoS后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了!
from http://www.dongwenkang.com/post/154.html
0 条评论。