服务器受到大流量攻击？有什么好的解决办法？

　　【内容声明】本文收集整理于互联网,不确保内容真实性和质量度,仅供参考!若有服务器产品相关问题,请咨询[YINGSOO]在线客服,获取专业解答!

　　【精选文章】电影网站的海外服务器配置怎么选？丨使用国外服务器的网站页面会被百度收录吗？

　　服务器受到大流量攻击？新式高防技术，替身式防御，具备1.5Tbps高抗D+流量清洗功能，无视DDoS,CC攻击，不用迁移数据，隐藏源服务器IP，只需将网站解析记录修改为DDoS高防IP，将攻击引流至集群替身高防服务器，是攻击的IP过滤清洗拦截攻击源，正常访问的到源服务器，保证网站快速访问或服务器稳定可用，接入半小时后，即可正式享受高防服务。

　　黑龙江省公安厅交警总队于今年3月份在互联网扩大选号范围，增加备选号池号段的时候。通过安全防御系统发现互联网机动车选号系统受到CC攻击和WEB非法访问，造成网络拥挤，严重威胁网络安全，可能影响选号的公平公正。随后，省交警总队主动暂停互联网选号系统。

　　近年来，DDoS攻击势头愈演愈烈，其中最麻烦的攻击手段当选CC攻击。下面云师哥给大家祥细讲讲什么是CC攻击，CC有什么攻击类型，怎么判断自己在被CC攻击。

　　什么是CC攻击?

　　CC攻击是 DDOS(分布式拒绝服务) 的一种，DDoS是针对IP的攻击，而CC攻击的是网页。

　　CC攻击来的IP都是真实的，分散的。数据包都是正常的数据包，攻击的请求全都是有效的请求，无法拒绝的请求。服务器可以连接，但是网页就是访问不了，也见不到特别大的异常流量，但是持续时间长，仍能造成服务器无法进行正常连接，危害更大。

　　CC攻击也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡(僵尸电脑)向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

　　CC攻击的类型

　　CC攻击的种类有四种，直接攻击，僵尸网络攻击，代理攻击，肉鸡攻击。

　　1，直接攻击

　　主要针对有重要缺陷的 WEB 应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。

　　2，僵尸网络攻击

　　有点类似于 DDOS 攻击了，从 WEB 应用程序层面上已经无法防御。

服务器收到大流量攻击

　　3，代理攻击

　　代理攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现DOS和伪装。

　　4，肉鸡攻击

　　一般指黑客使用CC攻击软件，控制大量肉鸡发动攻击，相比代理攻击更难防御，因为肉鸡可以模拟正常用户访问网站的请求，伪造成合法数据包。YINGSOO热线：400-630-3752

　　怎么判断自己在被CC攻击?

　　如果CC攻击你网站打不开，指定会有一种资源耗尽，才会引发网站打不开，打开卡。

　　可自行判断一下，是下列四种情况中的哪一种。

　　1，耗Cpu资源

　　黑客用1万台肉鸡，刷新你网站动态页面，如果你程序不够健壮，cpu直接100%。

　　2，耗内存资源

　　黑客只要刷新你动态页面中搜索数据库的内容，只要搜索量一大，内存占满。网站直接打不开或者是非常卡。

　　3，耗I/o资源

　　黑客找到上传文件，或者是下载文件的页面，在不停的上传与下载，磁盘资源点满。

　　4，耗带宽资源

　　下面这个带宽接10G，攻击上来2G，能看流量占用多少，如果流量占满了，服务器直接掉包，掉线。网站一点都打不开。

　　如果自己主机上不去，你可以问运营商要流量图，机房都有流量图的。

　　服务器受到大流量攻击，面对来势汹汹的CC攻击，其实最好的方式还是选择第三方的云安全厂商(就像我们)来解决问题。

　　我们敢说，我们防CC在业界非常具有优势!

　　早上接到IDC的电话，说我们的一个网段IP不停的向外发包，应该是被攻击了，具体哪个IP不知道，让我们检查一下。

　　按理分析及解决办法

　　首先我们要先确定是哪台机器的网卡在向外发包，还好我们这边有zabbix监控，我就一台一台的检查，发现有一台的流量跑满了，问题应该出现在这台机器上面。

　　我登录到机器里面，查看了一下网卡的流量，我的天啊，居然跑了这个多流量。

　　这台机器主要是运行了一个tomcat WEB服务和oracle数据库，问题不应该出现在WEB服务和数据库上面，我检查了一下WEB日志，没有发现什么异常，查看数据库也都正常，也没有什么错误日志，查看系统日志，也没有看到什么异常，但是系统的登录日志被清除了，

　　我赶紧查看了一下目前运行的进程情况，看看有没有什么异常的进程，一查看，果然发现几个异常进程，不仔细看还真看不出来，这些进程都是不正常的。

　　这是个什么进程呢，我每次ps -ef都不一样，一直在变动，进程号一一直在变动中，我想看看进程打开了什么文件都行，一时无从下手，想到这里，我突然意识到这应该都是一些子进程，由一个主进程进行管理，所以看这些子进程是没有用的，即便我杀掉他们还会有新的生成，擒贼先擒王，我们去找一下主进程，我用top d1实时查看进程使用资源的情况，看看是不是有异常的进程占用cpu内存等资源，发现了一个奇怪的进程，平时没有见过。这个应该是我们寻找的木马主进程。

　　我尝试杀掉这个进程，killall -9 ueksinzina，可是杀掉之后ps -ef查看还是有那些子进程，难道没有杀掉?再次top d1查看，发现有出现了一个其他的主进程，看来杀是杀不掉的，要是那么容易杀掉就不是木马了。

　　我们看看他到底是什么，”which obgqtvdunq”发现这个命令在/usr/bin下面，多次杀死之后又重新在/usr/bin目录下面生成，想到应该有什么程序在监听这个进程的状态也可能有什么定时任务，发现进程死掉在重新执行，我就按照目前的思路查看了一下/etc/crontab定时任务以及/etc/init.d启动脚本，均发现有问题。

　　可以看到里面有个定时任务gcc4.sh，这个不是我们设定的，查看一下内容更加奇怪了，这个应该是监听程序死掉后来启动的，我们这边把有关的配置全部删掉，并且删掉/lib/libudev4.so。

　　在/etc/init.d/目录下面也发现了这个文件。

　　里面的内容是开机启动的信息，这个我们也给删掉。

　　以上两个是一个在开机启动的时候启动木马，一个是木马程序死掉之后启动木马，但是目前我们杀掉木马的时候木马并没有死掉，而是立刻更换名字切换成另一个程序文件运行，所以我们直接杀死是没有任何用处的，我们目的就是要阻止新的程序文件生成，首先我们取消程序的执行权限并把程序文件成成的目录/usr/bin目录锁定。

　　chmod 000 /usr/bin/obgqtvdunq

　　chattr +i /usr/bin

　　然后我们杀掉进程”killall -9 obgqtvdunq”，然后我们在查看/etc/init.d/目录，看到他又生成了新的进程，并且目录变化到了/bin目录下面，和上面一样，取消执行权限并把/bin目录锁定，不让他在这里生成，杀掉然后查看他又生成了新的文件，这次他没有在环境变量目录里面，在/tmp里面，我们把/tmp目录也锁定，然后结束掉进程。

　　到此为止，没有新的木马进程生成，原理上说是结束掉了木马程序，后面的工作就是要清楚这些目录产生的文件，经过我寻找，首先清除/etc/init.d目录下面产生的木马启动脚本，然后清楚/etc/rc#.d/目录下面的连接文件。

　　后来我查看/etc目录下面文件的修改时间，发现ssh目录下面也有一个新生成的文件，不知道是不是有问题的。

　　关键词：服务器受到大流量攻击,服务器受到攻击

　　YINGSOO有着经验丰富的技术团队和完善的售后支持，客服人员全年无休，7*24小时全天候待命，只要您有需求和疑问，客服能在最短的时间内答复您，不会让您长时间等待。全国统一服务热线：400-630-3752

　　YINGSOO有试用的日本主机吗_低至148元/月_注册领代金券

　　稳定,性价比超高,按需配置购买,满足不同需求,有试用的日本主机吗免备案,高级DDOS防护,专业数据灾备方案,24小时贴心服务有试用的日本主机吗.

　　https://www.yingsoo.com/products/cloud-jp.html

　　YINGSOO免备案美国主机_免费CC防御流量_无需备案

　　免备案美国主机美国vps超宽国际出口 , 一手资源 , 重装系统 , 10MB独享带宽 ,在线有重启 , 无极网络 , 高速稳定,年付8.3折优惠

　　https://www.yingsoo.com/products/cloud-us.html

加速转型，提质增效，我国数据中心产业迈入高质量发展新阶段

总投资34亿！长江上游区域大数据中心(一期)项目竣工验收