什么是DDoS攻击，如何识别它们，以及如何保护您的网站免受它们的侵害，我们将了解DDoS攻击的常见迹象以及您可以采取哪些步骤来减轻它们造成的损害。

　　什么是DDoS?

　　DDoS或分布式拒绝服务，是一种使用一个或多个IP地址的协同攻击，旨在通过使网站的服务器无法访问来瘫痪网站。这是通过使服务器资源过载并用完所有可用连接、带宽和吞吐量来完成的。就像开车一样，如果车流量太大，您从A点到B点的旅行时间会变慢。通过用超出其处理能力的更多连接来淹没服务器，服务器会陷入困境，使其无法处理合法请求。即使是强大的服务器也无法处理DDoS可以带来的连接数量。

　　虽然有多种方法可以执行DDoS攻击，从HTTP洪水到Slowloris的延迟连接，但绝大多数都需要与您的服务器的实时连接。其中很多。

　　好消息是，因为这些连接是实时的，您可以看到它们的建立过程。使用一些简单的命令，您不仅可以确定DDoS是否正在发生，而且还可以获得帮助缓解这些攻击所需的信息。

　　如何检查DDoS

　　如果您担心您的服务器可能受到DDoS攻击，您需要做的第一件事就是查看服务器上的负载。像uptime或top命令这样简单的东西会让你很好地了解服务器的当前负载。

　　但什么是可接受的负载?

　　这取决于您的CPU资源或可用线程。通常，规则是每个线程一分。

　　要确定服务器的当前负载，您可以使用grep处理器/proc/cpuinfo|wc-l命令，它将返回逻辑处理器(线程)的数量。在DDoS攻击期间，您可能会看到负载是您应该拥有的最大负载的两倍、三倍甚至更高。平均负载按以下时间间隔显示负载：平均1分钟、平均5分钟和平均15分钟。在这种情况下，大于7的平均负载可能是一个问题。

　　如何检查哪些IP连接到您的服务器

　　由于大多数DDoS攻击需要连接到您的服务器，您可以检查并查看有多少IP地址和哪些IP地址连接到您的服务器。这可以使用来确定netstat，该命令用于提供各种详细信息。但在这种情况下，我们只对建立连接的特定IP、IP数量以及它们所属的子网感兴趣。首先，在终端中输入以下命令：

　　netstat-ntu|awk‘{print$5}’|cut-d:-f1-s|sort|uniq-c|sort-nk1-r

　　如果输入正确，此命令将返回一个降序列表，列出哪些IP连接到您的服务器以及每个IP有多少连接。结果还可能包括工件数据，这些数据将显示为非IP信息，可以忽略。

　　查看结果，您将看到列出的连接范围从每个IP1到大约50个连接不等。这对于正常流量来说是很常见的。但是，如果您看到一些具有100多个连接的IP，则需要仔细检查。

　　在列表中，您可能会看到已知IP、一个或多个服务器自己的IP，甚至您自己的具有多个连接的个人IP。在大多数情况下，这些可以被忽略，因为它们通常在那里。当您看到具有数百或数千个连接的单个未知IP时，您应该担心，因为这可能是攻击的迹象。