怎么查看服务器被DDoS攻击？

一、 实时症状判断（快速自查）

如果你的服务器突然出现以下现象，很可能是正在被DDoS攻击：

1、网络极度缓慢或完全无法访问：

* 服务器上的所有网站、服务打开极慢或直接超时。

* 通过SSH或远程桌面连接服务器异常困难甚至断开。

2、带宽或连接数激增：

* 这是最直接的证据，服务器的出/入带宽使用率突然达到100%或接近饱和。

* 服务器的活动网络连接数（如TCP连接）异常地高，远超平时水平。

3、服务器资源使用异常：

* CPU使用率、内存使用率可能并不高，甚至很低，这是因为DDoS流量通常直接堵死了网卡，还来不及消耗服务器内部资源，但对于应用层（第7层）DDoS，CPU和内存可能会被大量恶意请求耗尽。

4、特定服务不可用：

* 只有Web网站打不开，但服务器还能SSH连上（可能是HTTP Flood攻击）。

* 游戏服务器突然所有玩家掉线（可能是UDP Flood或TCP Flood攻击）。

二、 使用系统工具进行初步分析

当出现上述症状时，可以立即使用系统内置工具进行排查。

查看网络带宽和连接数

Linux 服务器：

查看即时带宽使用iftop,nload 或vnstat 命令。

    # 安装 iftop
    sudo apt install iftop # Debian/Ubuntu
    sudo yum install iftop # CentOS/RHEL
    # 使用 iftop (需要sudo权限)
    sudo iftop

它会实时显示哪个IP地址与你的服务器通信占用了最多的带宽。

查看网络连接状态使用netstat 或ss 命令。

    # 统计所有TCP连接数
    netstat -an | grep tcp | wc -l
    # 查看连接数最多的前10个IP地址
    netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n -r | head -n 10
    # 使用更现代的 ss 命令
    ss -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n -r | head -n 10

如果发现来自少数几个IP地址的连接数异常多，可能是攻击源。

查看系统负载和整体状态使用top,htop,vmstat 命令，主要观察wa (I/O等待) 和网络中断是否过高。

Windows 服务器：

打开任务管理器 (Ctrl+Shift+Esc) ->性能 选项卡 ->以太网。

* 查看“发送”和“接收”的吞吐量是否持续处于极高状态。

打开资源监视器 (在开始菜单搜索) ->网络 选项卡。

* 查看“网络活动”和“TCP连接”，这里可以排序找出哪些进程和远程地址占用了最多的带宽和连接。

三、 利用监控系统和日志进行深度确认

如果你有部署监控系统，这是最有力的证据。

1、带宽监控图表：

* 查看云服务商（如阿里云、腾讯云、AWS）提供的监控控制台，或者你自己搭建的监控系统（如 Zabbix, Prometheus + Grafana）。

关键点在图表上看到一个在极短时间内几乎垂直上升的带宽或连接数曲线，是DDoS攻击的典型特征，正常业务增长是平滑的。

*(这是一个典型的DDoS攻击带宽图例)

2、Web服务器日志分析 (针对应用层DDoS)：

* 检查 Nginx 或 Apache 的访问日志 (access.log)。

    # 查看最近1万条记录中访问最频繁的IP
    tail -10000 access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -20
    # 统计同一IP在短时间内的大量相同请求
    grep "01/Jun/2023:12:" access.log | awk '{print $1,$7}' | sort | uniq -c | sort -nr | head -20

发现如果大量IP或少数IP在疯狂请求同一个URL（如首页、搜索接口、API端点），或者User-Agent很怪异，这很可能是第7层DDoS攻击。

3、防火墙日志：

* 检查 iptables、firewalld 或云防火墙的拦截日志，看看是否记录了大量的恶意IP和连接尝试。

四、 使用云服务商/高防服务的控制台

这是最直接、最权威的确认方式。

阿里云登录 [云盾安全控制台](https://yundun.console.aliyun.com/) -> DDoS高防（新BGP）/DDoS基础防护，这里会清晰显示是否正在遭受攻击、攻击类型、攻击流量大小和清洗情况。

腾讯云登录 [大禹安全控制台](https://console.cloud.tencent.com/ddos/ddos-basic)，查看DDoS防护详情。

AWS登录 AWS Shield 控制台 和 CloudWatch，查看相关指标。

其他服务商你的云服务商或托管商一定会提供一个状态页面或安全控制台来展示这些信息。

你可以按照以下步骤来系统性地确认：

1、【感知异常】：网站/服务变慢或宕机。

2、【快速自查】：

* 尝试远程登录服务器，看是否困难。

* 登录云监控控制台，查看带宽和连接数图表是否有“尖峰”。

3、【系统工具分析】：

* Linux: 使用iftop 看流量IP，使用netstat/ss 看高连接数IP。

* Windows: 使用资源监视器看网络活动。

4、【日志分析】：

* 分析 Web 访问日志，寻找恶意请求模式。

5、【权威确认】：

登录你的云服务商/高防服务商的控制台，这是最终的确认步骤。

重要建议：一旦确认被攻击，应立即采取的措施

1、启动应急响应：

立即联系你的服务器提供商/云服务商，告知他们你正在被DDoS攻击，他们通常有基础防护可以帮你开启或升级。

启用你的DDoS高防服务（如果你已经购买），将业务IP切换到高防IP上。

2、临时缓解：

利用云防火墙/WAF设置频率控制策略，对单一IP在短时间内的请求次数进行限制。

封禁恶意IP段如果攻击源IP相对集中，可以在服务器防火墙或安全组中临时封禁这些IP或整个国家/地区（如果业务不涉及）。

切换或隐藏源站IP对于通过域名攻击的服务，可以通过高防IP回源的方式，将你的真实服务器IP隐藏起来。

3、事后分析：

* 攻击结束后，分析攻击流量日志，了解攻击类型和模式，加强未来的防护策略。

希望这份详细的指南能帮助你有效地识别和应对DDoS攻击。

文章摘自：https://idc.huochengrm.cn/fwq/18710.html