如何通过HTTP状态判断服务器运营状态

怀疑遇到攻击情况，首先要看看服务器上面的情况，首先top一下，看看服务器负载，如果负载不高，那么基本可以判断不是cc类型的攻击，再输入命令

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查看下网络连接的情况，会得到下面这些结果：

TCP/IP协议使用三次握手来建立连接，过程如下：

1、第一次握手，客户端发送数据包syn到服务器，并进入SYN_SEND状态，等待回复

2、第二次握手，服务器发送数据报syn/ack，给客户机，并进入SYN_RECV状态，等待回复

3、第三次握手，客户端发送数据包ACK给客户机，发送完成后，客户端和服务器进入ESTABLISHED状态，链接建立完成

如果ESTABLISHED非常地高，那么可能是有人在恶意攻击，进一步判断，可以把下面命令保存为脚本执行一下：

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 50) {print $2}}'`

do

echo $i

echo $i >> /tmp/evilip

done

如果输出了多个结果，那么可能表示有人在企图进行DDOS攻击，想用TCP连接来拖死你的服务器，输出的ip就是发出请求的服务器地址，并且保存在了/tmp/evilip里面。如果没有结果，可以调整一下阈值，把50改成40试一试，对策我们后面再说，这里只讲判断。如果SYN_RECV非常高，那么表示受到了SYN洪水攻击。

SYN洪水是利用TCP/IP协议的设计缺陷来进行攻击的，采用一些策略以及配置可以适当的降低攻击的影响，但并不能完全消除。

sysctl -w netipv4tcp_syncookies=1

sysctl -w netipv4tcp_syn_retries = 0

sysctl -w netipv4tcp_max_syn_backlog=2048

tcp_syncookies设置为1表示启用syncookie，可以大大降低SYN攻击的影响，但是会带来新的安全缺陷。

tcp_syn_retries 表示syn重试次数，重传次数设置为0，只要收不到客户端的响应，立即丢弃该连接，默认设置为5次。

tcp_max_syn_backlog表示syn等待队列，改小这个值，使得SYN等待队列变短，减少对系统以及网络资源的占用。

TCP连接攻击算是比较古老的了，防御起来也相对比较简单，主要是利用大量的TCP连接来消耗系统的网络资源，通常同一个IP会建立数量比较大的TCP连接，并且一直保持。应对方法也比较简单，可以将以下命令保存为脚本，定时ban掉那些傀儡机ip

for i in `netstat -an | grep -i ':80 '|grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 50) {print $2}}'`

do

echo $i

echo $i >> /tmp/banip

/sbin/iptables -A INPUT -p tcp -j DROP -s $i

done

banip文件里面记录了所有被ban的ip地址信息，方面进行反渗透以及证据保存等等。为了更好地加固系统，我们可以使用iptables来限制一下，单个ip的最大连接数。

当攻击者的资源非常的多，上面这些方法限制可能就没有什么防护效果了，面对大流量DDoS攻击还是要考虑采用多机负载或者选择墨者安全高防来应对了，一般来说多机负载的成本可能更高，所以大部分人还是选择墨者高防硬防产品来防御。

一、硬盘类型。服务器中的固态硬盘(SSD)比SATA硬盘驱动器提供更高的磁盘读/写速度，也称为输入/输出(I/O)性能。具有SSD读取和写入磁盘的服务器速度更快，但定价显著高于同等存储容量的SATA硬盘。

二、硬盘存储空间。服务器的硬盘存储是本地数据库大小和文件(如图像)的本地存储的限制因素。配置RAID磁盘阵列可有效增加数据可靠性，增加读取/写入(I/O)性能，RAID需要两个以上单独的存储卷。存储还可以采取网络存储的形式，如NAS(网络连接存储)或SAN(存储区域网络)。

三、CPU。独立服务器的CPU执行诸如服务网页、运行数据库查询或处理计算命令等指令。CPU和内核的数量会影响可执行多少个并发指令。CPU架构和功能也影响执行指令的速度，特别是在围绕这些功能设计程序的网站或应用。

四、带宽。带宽数据传输限制，指的是可以并发到您的服务器的数据量。服务器带宽价格较高，通常提供5Mbps、10Mbps国际带宽。像并发视频流、游戏和大数据处理等工作任务都需要高带宽。

五、网络延迟。网络延迟是服务器和用户之间发送信息的延迟的毫秒。网络延迟的高低由服务器提供商决定，但受到服务器和用户之间的距离和网络质量的影响。为降低延迟，服务器供应商部署中国大陆连通香港地区的CN2专线，是目前中国大陆访问最快的线路，可提供最低的延迟和最好的网络体验。

服务器的衡量标准主要有四个方面：是否可用，是否可扩展，是否易用，是否好管理。@天石科技可出售市场主流原装正品服务器以及维保服务，有需求可以私聊我
1、可用，所谓可用及服务器是否可靠稳定，能胜任长期工作的要求，问题少好维护。一些大型的服务器一生只有一次开机的机会，就是他正式投入使用开机的那一次，而后就要不停的运转工作，直至报废停止使用。
2、可扩展，一台服务器价值几万甚至几十万，当今信息时代，企业对网络的要求不断增长，如果一台服务器不能扩展就无法满足日益增长的要求。磁盘阵列架位，内存条插槽位等都可以保障服务器可扩展性地实现。
3、易用，及服务器易于 *** 作、人性化。服务器功能的实现不仅要靠硬件配置，更多的依赖于软件的配置，没有软件的全方位支持就无法实现服务器的多功能。但也并不是软件系统越多越好，较多的软件必然又会导致使用性能的下降，所以开发商上在服务器的设计上不仅要保证服务器的可用、可扩展，更要在服务器的易用上权衡、考量。
4、好管理，一般来说一台服务器是要不间断地工作的，这样如果出现问题停下来修理，所做成的损失便是不可估量的。如果能在保证服务器永不间断的工作的前提下，及时发现问题、解决问题，这就要看服务器的管理性能是否优越。好的服务器拥有智能的管理系统，能在不停歇的前提下，及时的发现问题、自动报警，便于管理、提高工作效率。

---