服务器的攻击分为四类，DDoS cc 攻击、syn 攻击、udp 攻击、tcp 洪水攻击。那么当被攻击时会出现哪些症状呢，我们是如何来判断服务器是否被攻击，属于哪种攻击类型？

第一种类型：DDoS CC 类攻击
A.网站出现 service unavailable 提示
B.CPU 占用率很高
C.网络连接状态：netstat –na,若观察到大量的 ESTABLISHED 的连接状态 单个 IP 高达几十条甚至上百条
D.外部无法打开网站,软重启后短期内恢复正常,几分钟后又无法访问。
第二种类型：SYN 类攻击
A.CPU 占用很高
B.网络连接状态：netstat –na,若观察到大量的 SYN_RECEIVED 的连接状态
第三种类型：UDP 类攻击
A.观察网卡状况 每秒接受大量的数据包
B.网络状态：netstat –na TCP 信息正常
第四种类型：TCP 洪水攻击
A.CPU 占用很高
B.netstat –na,若观察到大量的 ESTABLISHED 的连接状态 单个 IP 高达几十条甚至上百条。

判断服务器是否被攻击可以通过以下几个方法和指标进行监测和分析：

1. 监控流量

• 流量异常：使用网络监控工具（如Wireshark、Nagios等）查看流量是否有异常增加，尤其是短时间内的流量激增，可能是DDoS攻击的迹象。
• 来源分析：检查流量来源，是否有大量来自同一IP地址或地理位置的访问。

2. 查看日志文件

• 访问日志：分析服务器的访问日志（如Apache或Nginx日志），查找异常请求、重复请求和可疑的URL访问。
• 错误日志：检查错误日志，寻找频繁的404错误或其他异常错误代码，可能表明有人在尝试攻击。

3. 系统性能监控

• CPU和内存使用率：监测CPU和内存使用率是否异常升高，可能是由于恶意软件或攻击导致的。
• 磁盘I/O：检查磁盘I/O性能，是否有异常的读写操作。

4. 检测文件完整性

• 文件变化监控：使用文件完整性监控工具（如Tripwire）检查关键文件是否被篡改或删除。
• 新增文件：注意是否有不明文件或可疑脚本被上传到服务器。

5. 安全工具和防火墙

• 入侵检测系统（IDS）：使用IDS（如Snort）监控和检测可疑活动。
• 防火墙日志：检查防火墙的日志，寻找被阻止的可疑连接或攻击尝试。

6. 检查服务状态

• 未授权服务：确保没有未授权的服务在运行，定期检查正在运行的进程和服务。
• 异常端口：使用工具（如netstat）查看开放的端口，检查是否有可疑或不常用的端口开放。

7. 用户账户监控

• 登录尝试：监测是否有异常的登录尝试，特别是失败的登录尝试次数过多，可能是暴力破解攻击。
• 账户活动：检查用户账户的活动，是否有异常的登录或操作记录。

8. 安全更新和补丁

• 系统和软件更新：确保所有软件和系统都保持最新状态，及时应用安全补丁，防止已知漏洞被利用。

9. 外部监测

• 使用监测服务：可以使用一些外部监测服务（如UptimeRobot、Pingdom等）来检测服务器的可用性和性能，及时发现异常。

结论

定期监测和维护服务器的安全性是防止攻击的关键。一旦发现可疑活动，应立即采取措施进行调查和修复，以保护服务器和数据的安全。