查看ddos攻击域名还是ip_查看ddos攻击ip

电脑被人攻击，怎么查到对方的ip

一般cc攻击都是针对网站的域名进行攻击，比如网站域名是“xxx”，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。

对于这样的攻击我们的措施是在IIS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开“IIS管理器”定位到具体站点右键“属性”打开该站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编辑，将“主机头值”删除或者改为其它的值(域名)。

实例模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不变，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。

(2).域名欺骗解析

如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。 另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。 现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。

(3).更改Web端口

一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的端口就可以了。 (4).IIS屏蔽IP通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的“属性”面板中，点击“目录安全性”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该IP对于Web的访问。 (5).IPSec封锁IPSec是优秀的系统防火墙，在排除其他还有别的类型的DDOS攻击时，针对CC攻击可以用设置IP策略来对付攻击。以219.128.*.43这个IP为例子，笔者实际操作对该IP的访问封锁。

第一步：“开始→管理工具”，打开“本地安全设置”，右键点击“IP安全策略，在本地机器”选择“创建IP安全策略”，然后点击“下一步”，输入策略“名称”和“描述”。然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。

第二步：右键点击“IP安全策略，在本地机器”选择“管理IP筛选器表和筛选器操作”，在打开的窗口中点“添加”，在“IP 筛选器列表”窗口添人同第一步的名称和描述信息。取消“使用添加向导”的勾选，然后点击“添加”。在“IP 筛选器 属性”窗口的“地址”选项下设置“源地址”为“192.168.1.6”，目标地址为“我的IP地址”，取消对“镜像”的勾选;点击“协议”选项卡，设置“协议类型”为“TCP”，设置“协议端口”为“从任意端口”到“此端口80”最后确定退出。

第三步：在“新规则 属性”窗口中点选刚才创建的“封CC攻击”规则，点击“筛选器操作”选项卡下的“添加”，点选“安全措施”下的“阻止”，在“常规”选项卡下为该筛选器命名为“阻止CC攻击”然后确定退出。 第四步：点选刚才创建的“阻止CC攻击”筛选器，一路“确定”退出IP策略编辑器，可以看到在组策略窗口的中创建成功一个名为“封CC攻击”的策略，然后右键点击该策略选择“指派”。这样就实现了对该IP的封锁。 (6).防火墙除了利用上述方法外，还可以通过第三方的防火墙进行防范，打开防护墙防火墙可以了

如何辨别是否是网络DDoS攻击？

1、服务器连接不到，网站也打不开

如果网站服务器被大量DDoS攻击时，有可能会造成服务器蓝屏或者死机，这时就意味着服务器已经连接不上了，网站出现连接错误的情况。

2、服务器CPU被大量占用

DDoS攻击其实是一种恶意性的资源占用攻击，攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，这样网站就会出现打开缓慢的情况。如果服务器某段时期能突然出现CPU占用率过高，那么就可能是网站受到CC攻击影响。

3、服务器带宽被大量占用

占用带宽资源通常是DDoS攻击的一个主要手段，毕竟对很多小型企业或者个人网站来说，带宽的资源可以说非常有限，网络的带宽被大量无效数据给占据时，正常流量数据请求很很难被服务器进行处理。如果服务器上行带宽占用率达到90%以上时，那么你的网站通常出现被DDoS攻击的可能。

4、域名ping不出IP

域名ping不出IP这种情况站长们可能会比较少考虑到，这其实也是DDoS攻击的一种表现，只是攻击着所针对的攻击目标是网站的DNS域名服务器。在出现这种攻击时，ping服务器的IP是正常联通的，但是网站就是不能正常打开，并且在ping域名时会出现无法正常ping通的情况。

如果经常发生DDoS攻击，对于网站来说是比较危险的，因此要重视DDOS攻击。防御DDoS攻击，可以使用安全狗来防护。

如何在Linux上用命令查询是否被DDOS攻击

服务器出现缓慢的状况可能由很多事情导致，比如错误的配置，脚本和差的硬件。但是有时候它可能因为有人对你的服务器用DoS或者DDoS进行洪水攻击。

如何在Linux上使用netstat命令查证DDOS攻击

DoS攻击或者DDoS攻击是试图让机器或者网络资源不可用的攻击。这种攻击的攻击目标网站或者服务通常是托管在高防服务器比如银行，信用卡支付网管，甚至根域名服务器，DOS攻击的实施通常迫使目标重启计算机或者消耗资源，使他们不再提供服务或者妨碍用户，访客访问。

在这篇小文章中，你可以知道在受到攻击之后如何在终端中使用netstat命令检查你的服务器。

一些例子和解释

netstat -na显示所有连接到服务器的活跃的网络连接netstat -an | grep :80 | sort只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用netstat -n -p|grep SYN_REC | wc -l这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5.在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不仅仅是计数.netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址节点发送SYN_REC的连接状态netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令来计算每个IP地址对服务器的连接数量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp连接到服务器的数目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP

如何缓解DDoS攻击

当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接：

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS

在完成以上的命令，使用下面的命令杀掉所有httpd连接，清除你的系统，然后重启httpd服务。

killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系统用netstat命令查看DDOS攻击具体命令用法如下：

代码如下:netstat -na

显示所有连接到服务器的活跃的网络连接

代码如下:netstat -an | grep :80 | sort

只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用

代码如下:netstat -n -p|grep SYN_REC | wc -l

这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5.

在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.

代码如下:netstat -n -p | grep SYN_REC | sort -u

列出所有包含的IP地址而不仅仅是计数.

代码如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所有不同的IP地址节点发送SYN_REC的连接状态

代码如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令来计算每个IP地址对服务器的连接数量

代码如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出使用tcp和udp连接到服务器的数目

代码如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数

代码如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP

如何缓解ddos攻击

当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接：

代码如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS

如何查看服务器是否被ddos攻击？

ddos攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。ddos的攻击方式有很多种，最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

第一，宽带被占用，宽带占用资源，一般是ddos攻击中最重要的一个手段。毕竟对于中小型企业来讲，能够享受到的宽带资源还是很有限的。Ddos攻击之后，宽带资源被占据，正常的流量很难满足服务器运行需求。如果你的服务器宽带占用比率为百分之九十的话，很有可能是遭受到ddos攻击了。

第二，连接不到服务器，一旦网站被ddos攻击之时，是会造成电脑死机或者是蓝屏的。这就代表着你使用的电脑服务器连接不成功。服务器连接不成功或者是连接出现错误的话，服务器能不能出现故障等问题，在进行服务器连接的同时，做好相关防御。

第三，内存被大量占用，如何查看服务器是否被ddos攻击，这一点是最重要的。Ddos攻击本身就是在恶意导致资源被占用。攻击者们利用攻击软件，针对服务器发送大量的垃圾请求。最后导致服务器被大量的所占用。因为正常网站进程，不能得到有效的处理，而且还会出现缓慢打开情况。就会出现服务器内存被大量的占据。

防御ddos攻击的方法可以使用蔚可云的ddos云清洗功能