帮我看看，是不是被DOS攻击了？

samwang

我的web服务器访问非常慢！
用netstat -an看的时候，发现很多来自外部的IP连接我的80口。
全部是A类地址，估计是假的。端口号也是乱的。
最重要的是state栏的信息，共计有以下几类：
SYN_RECV，LAST_ACK，SYN_SENT，FIN_WAIT1，ESTABLISHED，CLOSE_WAIT，TIME_WAIT
每种都出现几十次，一共估计有几百个之多！

是不是被DOS攻击啦？
怎么解决呢？
access_log里是正常的。

sumargin

这好像会有点武断呢，虽然有很多来自外部的IP口，但也不能说明DOS攻击啊，
web服务器慢也许有其他的原因

以前有这样的情况吗
SYN_RECV，LAST_ACK，SYN_SENT，FIN_WAIT1，ESTABLISHED，CLOSE_WAIT，TIME_WAIT
每种都出现几十次，一共估计有几百个之多！

samwang

以前的是ESTABLISHED和TIME_WAIT比较多，但是排列整齐，就是说有来自某一个IP的几个连接，同时都是ESTABLISHED或者TIME_WAIT，有时候繁忙的时候，也比较多。

但这次明显有几点不同：
一 外部的IP奇怪，我查了一下，大多是什么美国的，欧洲的，日本。少量是国内的。大部分是A类地址
二 排列混乱，每个外部IP只维持了一个连接
三 种类多。什么连接类型都有。
四 维持时间长。照说tcp/ip三次握手有时间限制。连接不成功就会断掉的。我没细看，可能是断掉了重连的，也有可能是一直没断。

有达人说，是web服务器的maxclient限制问题，
可我用ps -ef|grep http | wc -l看只有11个进程
并且httpd.conf里的maxclient是默认的150
所以我个人感觉不像是web server的maxclient受限的问题。。

learnin9

tcpdump抓包看看吧。算算1分钟有多少个httpd的包

嘉年华

linux 不能防 ddos ？

有没有办法防止呢？

dancingpig

能防DDOS的东西世界上还木有呢

dancingpig

DDOS攻击的特点是syn_recv的比较多，因为从攻击方式来分析。攻击者使用的是伪造的地址来发送连接请求。这样当syn到达后，tcp进行3次握手的第2个步骤时候会得不到正确的响应，阻塞在syn recv阶段。然后定时器超时，转到下个阶段，具体啥阶段请看TCP状态图。
所以你这样44，netstat -na|grep syn_recv|wc -l
看看多少数如果很多就可能是给ddos中

hmqq

貌似传说中的CC攻击，就是通过很多代理服务器对WEB服务器进行拒绝服务攻击
对传奇私服也有类似的攻击

Toyo

原来那种叫CC攻击阿。。我被攻击了5mins左右，当时就听到硬盘狂响然后看log，一看都是用网页代理的来登陆的。有很多，都是不同的网页代理的感觉。比如:http://xxx.xxx.xxx/sss?link=你的网址

cxfcxf

一般ddos都用syn洪吧