ddos攻击

ddos常见攻击报⽂

ddos有很多种，⼀种是Flood(像潮⽔⼀般，以⼒量取胜），还有是Malform(畸形报⽂，利⽤系统协议漏洞，以巧取胜）

还有⼀种放⼤反射攻击，例如我使⽤⼀个伪造IP的报⽂去访问dns服务器，dns服务器会根据报⽂⾥⾯的信息进⾏响应，dns服务器会向该ip

发送信息，从⽽达到占⽤宽带的⽬的。

Syn泛洪攻击：它利⽤了tcp的三次握⼿机制，当服务端接收到⼀个syn请求时，协议软件必须利⽤⼀个监听队列将该连接保存⼀定时间。向

服务端不停地发送syn,但是不响应syn+ack，这样消耗服务端的资源，然后服务端就不会响应正常⽤户的请求，从⽽达到拒绝服务攻击。

使⽤netstat-an-ptcp查看，如果SYN_RECV状态的连接⾮常多，说明有可能遭受攻击。

但是也有许多防御syn攻击的办法，例如⾸包丢弃，恶意⿊名单，或者建⽴连接前使⽤⼀个门卫，也可以直接修改系统内核参数，在⼀定程

度上进⾏保护。

_syncookies=1

40kpps的流量就已经具有破坏⼒了。

还有应⽤层的HTTP层次的ddos,其实只要能够达到拒绝服务的⽬的，都可以称之为ddos

ddos测试之检测。

当你发起了ddos攻击，除了使⽤tcpdump/wireshark进⾏查看⽹卡上的包之外，还可以通过⼀些其他⽅法来衡量系统状态。

-l-ieth4使⽤vnstat查看这段时间⽹卡收发包的个数和流量。

2.使⽤top命令查看进程CPU百分⽐

3.使⽤free查看是否有内存泄漏

4.使⽤lsof查看是否有句柄泄漏

5.使⽤df-h查看⽂件⽬录空间

6.查看关键进程是否重启记录进程pid或者是查看进程开始时间。

7.查看是否有僵⼫进程等psaux查看进程的状态，STAT列为Z的表⽰为僵⼫进程