怎么确定网络是不是被攻击_怎样判断网络被攻击

怎么判断服务器是否被DDoS恶意攻击？

怀疑遇到攻击情况，首先要看看服务器上面的情况，首先top一下，看看服务器负载，如果负载不高，那么基本可以判断不是cc类型的攻击，再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下网络连接的情况，会得到下面这些结果：

TCP/IP协议使用三次握手来建立连接，过程如下：

1、第一次握手，客户端发送数据包syn到服务器，并进入SYN_SEND状态，等待回复

2、第二次握手，服务器发送数据报syn/ack，给客户机，并进入SYN_RECV状态，等待回复

3、第三次握手，客户端发送数据包ACK给客户机，发送完成后，客户端和服务器进入ESTABLISHED状态，链接建立完成

如果ESTABLISHED非常地高，那么可能是有人在恶意攻击，进一步判断，可以把下面命令保存为脚本执行一下：

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/evilip

done

如果输出了多个结果，那么可能表示有人在企图进行DDOS攻击，想用TCP连接来拖死你的服务器，输出的ip就是发出请求的服务器地址，并且保存在了/tmp/evilip里面。如果没有结果，可以调整一下阈值，把50改成40试一试，对策我们后面再说，这里只讲判断。如果SYN_RECV非常高，那么表示受到了SYN洪水攻击。

SYN洪水是利用TCP/IP协议的设计缺陷来进行攻击的，采用一些策略以及配置可以适当的降低攻击的影响，但并不能完全消除。

sysctl -w net.ipv4.tcp_syncookies=1

sysctl -w net.ipv4.tcp_syn_retries = 0

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

tcp_syncookies设置为1表示启用syncookie，可以大大降低SYN攻击的影响，但是会带来新的安全缺陷。

tcp_syn_retries 表示syn重试次数，重传次数设置为0，只要收不到客户端的响应，立即丢弃该连接，默认设置为5次。

tcp_max_syn_backlog表示syn等待队列，改小这个值，使得SYN等待队列变短，减少对系统以及网络资源的占用。

TCP连接攻击算是比较古老的了，防御起来也相对比较简单，主要是利用大量的TCP连接来消耗系统的网络资源，通常同一个IP会建立数量比较大的TCP连接，并且一直保持。应对方法也比较简单，可以将以下命令保存为脚本，定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 50) {print $2}}'`

do

echo $i

echo $i /tmp/banip

/sbin/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息，方面进行反渗透以及证据保存等等。为了更好地加固系统，我们可以使用iptables来限制一下，单个ip的最大连接数。

当攻击者的资源非常的多，上面这些方法限制可能就没有什么防护效果了，面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了，一般来说多机负载的成本可能更高，所以大部分人还是选择墨者高防硬防产品来防御。

如何判断网站是否遭到DDOS攻击 遭到攻击可以找云都网络来防御吗？

判断网站是否遭受到了DDoS的流量攻击或资源耗尽攻击，可以通过以下几种现象进行辨别：

一、网站访问突然间变得非常缓慢或无法访问，服务器上存在着大量等待的“TCP半连接”状态；

二、网络中充斥着大量无用的数据包；

三、通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，排除是网络故障因素的话，则很有可能是遭受到了流量攻击；若此时还发现，和你的主机接在同一交换机上的服务器也访问不了，基本上可以确定是遭受了流量攻击。

如果遭受大规模DDOS攻击建议选用专业网络安全服务商接入高防服务 如云都网络（YUNDU。COM），全网自研指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDOS攻击防御。

如何判断网络是否正在遭受ARP的攻击

方法一：运行--cmd--arp -a，查看路由绑定情况是否可疑；

方法二：下载并安装ARP防火墙，查看内网是否存在混杂模式的网卡，有过有，那就是正在遭受攻击。

怎么看电脑是否被攻击

查看电脑是否入侵，是否留有后门：

1、查看任务管理器--进程，是否有可疑程序。查看详细信息是否有可疑程序。必要时详情中点击程序右击打开文件所在的位置看看，再右击程序属性看创建日期及修改日期，看是否最新更新过系统或驱动，没有就要注意了。

2、win+R --cmd--输入：netstat -ano 看是否有可疑IP在进行外网链接，状态中后面数字为pid 。

解释：

listening：端口在监听，等待连接但是未连接；

time wait状态：曾经有过连接但当前断开了，最后一次连接状态。

established状态：连接中。

fin_wait_2：第二次fin应答状态。

close_wait： 已关闭连接的状态。

fin_wait： 关闭连接发fin应答状态。

3、看时间查看器--windows日志--系统，安全--信息--下部的常规--看服务文件名是否有可疑程序。

4、明知道是木马，杀毒不了，建议备份数据后重装电脑，加强防火墙及端口权限。不要浏览没有icp备案、不良信息的网站，

5、平时使用电脑比较快，看文件视频浏览网页不卡，但是遇到突然网页卡死或无网络、网络非常慢等要检查网线是否正常后查看是否被攻击。被攻击后建议备份数据重新装系统。

防止入侵:

1、加强防火墙管理。

2、加强端口进出入站规则。

3、加强远程权限管理。

4、加强共享文件管理。

5、不看不良网站。

其他命令:

1、通过端口找pid：netstat -aon|findstr "8008"；

2、通过pid找程序：tasklist|findstr "3306"；

3、查看ip，端口， pid信息：netstat -ano。

如何查看路由器是否被攻击？

我觉得攻击不可能，除非你是固定IP，如果用ADSL，别人也不知道你的IP，请问怎么攻击呢？

8点那时候人多，大家都上网，这个时候网络肯定比较拥堵的，不一定是别人攻击你。

我觉得你先检查一下很卡的时候，总流量是不是很大，如果流量不够，肯定卡。如果线路带宽不够，就考虑开大一点带宽，另外，建议购买带QOS功能的路由器，设置一下分流，会好很多。

很久没到网吧了，以前我看小地方的网吧是用ADSL拨号的，并没有固定IP，所以有这个疑问。

你在很卡的时候，测试一下网速，看看是否网速也降低了。如果网速降低，可以联系宽带服务商解决。

另外，把路由器日志贴上来，会有高手帮你分析。