网站被流量攻击_流量攻击网站瘫痪

过度 *** 流量导致 *** 瘫痪,这是什么恶性程序

过度 *** 流量导致 *** 瘫痪1.系统在早上9点的时候非常慢，单台服务器占用流量很大，使交换机流量被占满，而连累挂在同一交换机上的其他应用也无法提供服务，或者速度非常慢

2.通过查看进程发现大量的perl程序占用了大量的CPU，并且无法被kill掉

3.通过查看 *** 设备的监控，发现 *** 带宽在8点20分左右被OA服务器所在的交换端口占满，拔掉该OA服务器的网线， *** 恢复正常，重新插上系统瘫痪，可以断定问题出在该服务器上

4.重启系统后恢复正常



防火墙日志



流量走势



临时解决办法：

1.将OA系统挂载在单独的交换机上，并且对该交换机连接OA的端口限速，这样可以保证OA不会占用过多的带宽

2.安装安全狗服务器版，找到了部分asp的程序(没有对asp过滤，里面有一句话木马，系统是PHP的)

3.启用硬件防火墙的防DDOS功能



咨询多方专家后给出的解决方案如下：

1.针对系统做优化（这样可以抵御少量的攻击）

2.够买专业的防火墙设备

3.把系统迁移到云服务器上，用云来清洗流量

4.在系统发生故障时抓包，对包进行分析

# tcpdump -i em1 -w /tmp/em120160317

5.使用nethops进行流量定位，找到引发流量对应的程序

# yum -y install nethogs

Loaded plugins: fastestmirror, refresh-packagekit

Loading mirror speeds from cached hostfile

* base: centos.ustc.edu.cn

* extras:

* updates:

Setting up Install Process

No package nethogs available.

Error: Nothing to do



# yum install epel-release -y

# nethops em1

真实的解决 *** ：

通过咨询其他同事，之前在北京的应用windows系统碰到类似的情况，是病毒引起的，杀毒后解决了问题，但当时可能被杀毒软件误删了操作系统文件，需要谨慎

后来搜索了下还真有linux下的杀毒软件

此次我们选择了nod32 linux x64版进行杀毒，查杀出了恶意木马，经过几天的观察发现没有再次出现服务器大量带宽被占用的情况，该问题暂时得到缓解

为什么选nod32，是因为之前在上一家公司任职的时候也碰到类似2003系统占用大量带宽使公司员工都上不了网的情况，用nod32杀掉蠕虫后解决问题

具体安装步骤，请参考前面的博文：

centos系统安装nod32杀毒软件并通过xmanager进行远程管理

安装需要输入用户名及注册码，输入后并升级到最新版本的病毒库

通过安装nod32 linux 64位版，升级病毒库以后，确实干掉了进程中出现的perl脚步，并且运行的用户也对上了，该事件暂告一段落



注意：

需要测试，不要直接在服务器运行，中间碰到了很多问题，测试的时候没有碰到类似问题(硬件不一样，测试环境是联想的PC，生产环境的服务器是dellr720，这个需要引起注意，下班后操作，并且需要做好备机，避免出现致命问题能及时恢复)

*** 流量攻击带来的危害

从以前 *** 流量攻击在闲鱼的发布数来看， *** 流量攻击造成的破坏远远不止服务瘫痪这么简单。

1.经济损失

电商、信贷、游戏行业等网站一旦网站被攻击，就会造成客户无法打开网站的情况，一旦客户打不开就会造成流量损失，流量损失会直接造成这些企业的经济损失，相关数据显示有很多的损失合同和运营终止都跟DDOS攻击有关，在一系列被攻击过的相关企业里，26％的企业都将DDOS攻击视为更大风险。

2.信誉损失

服务器宕机造成的业务系统崩溃会让企业的信誉扫地，糟糕的客户体验会让**户流失，企业声誉，品牌形象大受打击。

3.信息安全受到危害

在遭受 *** 流量攻击时企业安全人员都会将维护中心转移到防护流量攻击上，这时不法分子就有机会钻空子，窃取数据、感染病毒、恶意欺骗等犯罪活动将更容易得手。

那么如此危险的 *** 攻击，我们该如何防护呢？

(1) *** 层攻击防御

1.针对TCP类型，syn_fllod可利用协议规范，采用syn_cookie，syn_reset的认证方式。其他类型的tcp报文可通过tcp绘画机制过滤。

2.针对UDP类型的攻击，通常为反射攻击，将一些常被用于反射攻击的udp端口的保统统丢弃，通常可以防御大多数攻击。

(2)应用层攻击

通常可以针对特定IP进行限速，比如可以Nginx上配置，针对http采用js反射校验等机制。

网站被攻击流量超载瘫痪怎么办？

　1、屏蔽攻击源ip地址，从源头上堵死流量来源

登录cpanel后台，找到”日志”“访客”

仔细分析下里面的访客IP,如果某一IP地址在短时间内有大量的数据，可以考虑屏蔽掉。通过”访客”这个目录进去，数据太多，并且都是网页版本的，分析起来比较麻烦。另外一个 *** 是点击”日志”“原始访问日志”，下载压缩包并解压，使用文本编辑器打开分析。

使用这种方式也有一定的缺陷。攻击者敢于攻击，肯定也想到了一定的规避措施。在分析ip地址的时候，我们不仅仅判断同一个ip地址，更要判断出同一类型的ip地址。ip地址分为三类型，A类，B类，C类。判断一个IP地址属于哪个类型，只需要看ip地址的之一个字节。A类IP的地址之一个字段范围是0~127，B类地址范围：128.0.0.1到191.255.255.254，C类地址的之一组数字为192～223。如果两个ip地址不同，但是属于同一类型的ip地址，并且 *** 号一样，那么也是我们要考虑过滤的ip地址。

这种方式也会有一定的误判，只在非常时期使用。现在很多人刷流量使用流量精灵等软件来刷，ip都是 *** 的，很难找到元凶。

2、向百度站长平台提交异常报告,附加上相关截图

3、使用百度加速乐或者360网站卫士

加速乐需要交纳费用才能使用，其中更便宜的超值套餐也需要6980元，中小站长伤不起的。360网站卫士是可以 *** 的，但是只是针对备案过的网站，没有备案的站长等着哭去吧。注册网站安全卫士后，开启360网站卫士的验证码防护。由于360是网站卫士是免费，这里有个简单教程工大家参考。360网站安全卫士注册教程

除了屏蔽ip地址和使用网站安全软件，似乎没有其他比较好的办法。站长只能注意平时保持低调，不要得罪人了。遇到这种情况，也不要太慌张。卸载掉网站上百度相关产品，继续保持每天的更新，围绕关键词跟认真的去写原创的文章，相信百度还是会收录的!只要老实做站的话，百度还是会给予应有的排名，收录和权重。为了防止接下来可能更加凶猛的攻击，也要做好网站备份工作，谁也保不准攻击者会不会像其他办法进一步加强攻击。