行业资讯

质量为本、客户为根、勇于拼搏、务实创新

< 返回行业资讯列表

服务器如何区分攻击类型?

发布时间:2021-05-06 08:25

  作为服务器的管理者,每当服务器宕机无法访问时,就需要检查故障,尽快使服务器恢复运行。造成服务器无法访问的原因有很多,简单一点的系统故障,一般重启一就恢复,而复杂一点的比如系统或应用程序崩溃,就要争取备份数据,重装系统和程序;而更为麻烦的病毒入侵造成服务器无法访问,如果实在无法争夺服务器权限或者阻止数据泄露,就只能尽快重装系统,重新设置防火墙。最麻烦的就是被DDOS或CC这一类的流量攻击,如果机房没有防御,那只能等攻击停止,服务器才会恢复正常。那么当确定服务器被攻击而无法访问时,要如何区分攻击类型呢?一般被流量攻击之后,服务器会有以下几种情况。

1、服务器连接正常,但网站或程序无法打开。

如果服务器连接正常,则不会是被大流量CC攻击。此时,可以查看服务器的任务管理器,查看服务器的CPU使用情况和网络带宽使用情况。
如果W3wp.exe进程占用大量CPU,则可以立即确认被CC攻击。w3wp.exe是IIS的进程,如果是ASP/PHP等动态站点,受到CC攻击时,w3wp.exe进程可能会大量使用CPU到达服务器CPU承受不住。这样网站当然打不开了。

对于静态站点,w3wp.exe不太使用CPU。此时,您可以查看服务器的网络带宽使用情况。这是因为静态站点不需要处理就可以直接返回给访问者,所以不太使用CPU。当然,当受到CC攻击时,需要返回大量静态页面,这时会占用服务器的上行带宽,当受到大量CC攻击时,上行带宽可以达到99-100%。

如果服务中出现这两种症状之一,则可能会尝试先停止服务器的IIS。如果CPU或网络带宽使用量立即减少,则在启动IIS后可能会立即飙升,被CC攻击。当然,前提是服务器被攻击之后还能进入管理,如果远程无法登陆服务器,还可以通过KVM工具登录。

2、服务器无法连接,网站或程序无法打开。

如果服务器突然访问,网站或程序也无法连接,也可以联系机房询问原因。机房的监控系统能够显示所有服务器的带宽占用情况,如果被大流量攻击,机房就会发现流量异常,如果服务器没有防御,为了保障机房网络的稳定,机房会在一段时间内屏蔽服务器的IP。这时候可以联系机房,要求在受到攻击时提供流量截图,这样就可以知道服务器遭受哪种攻击,有多大攻击流量。

3、服务器无法登陆,网站或程序可以打开,但显示异常。

   如果网站或程序能够打开,但是显示出现异常,服务器能够连通,但无法远程登陆,这时候很大可能被病毒攻击。黑客通过病毒夺取权限,窃取服务器数据,对系统和网站程序大肆破坏,如果不及时处理,就会给服务器造成不可逆转的损害,只能重装系统。一般的木马病毒重启之后就可以清除,但如果是网站程序本身的漏洞,如果不能修复,就算重装系统,重新设置安全防火墙,也很难阻止下一次入侵。