DDOS 攻击下服务器宕机后的处理办法(图文)

DDOS 攻击的常见形式

DDOS 攻击有多种常见形式。其中，SYN Flood 攻击利用 TCP 三次握手机制，攻击者发送大量伪造的 TCP SYN 包，使服务器资源被大量半连接状态占用，如黑客操控大量傀儡计算机向目标网站发送 SYN 请求，导致网站瘫痪。UDP Flood 攻击通过向目标系统发送大量 UDP 数据包，占用目标网络带宽或使目标系统忙于处理无效 UDP 数据包而无法处理正常请求，例如攻击者发送海量 UDP 大包到目标服务器端口，使其网络性能下降。ICMP Flood 攻击则是发送大量 ICMP 数据包（如 Ping 包）到目标主机，消耗目标网络带宽和系统资源，让目标主机无法正常服务。HTTP Flood 攻击（也叫 CC 攻击），攻击者模拟大量正常用户向目标网站发送 HTTP 请求，造成目标网站服务器资源耗尽，无法响应正常用户请求。

DDOS 攻击的危害

DDOS 攻击会带来严重的危害。首先，它能使服务器无法正常提供服务。大量的请求和数据如潮水般涌来，耗尽服务器的网络带宽、系统资源以及服务能力。例如，当服务器遭受 DDOS 攻击时，可能会出现 GPU 被大量占用的情况，就像餐馆被人恶意占座却不点单，正常消费者无处可坐，导致企业业务无法正常运行。其次，DDOS 攻击会占用带宽资源，正常用户无法进入。以互联网时代的服务器为例，当遭受攻击时，大量无用数据占用带宽，网页崩溃，客户减少，对企业形象产生很大影响。此外，DDOS 攻击还可能造成数据丢失。如果服务器被攻击严重，可能出现死机情况，若平时未做好备份，将无法进行挽救。同时，DDOS 攻击还可能作为其他网络犯罪活动的掩护，如攻击者窃取数据、感染病毒、恶意欺骗等犯罪活动更容易得手。

二、案例中的服务器宕机情况

（一）知名平台的遭遇

维基百科作为全球最大也最受欢迎的网络参考工具书，在 2019 年 9 月 8 日凌晨 2 点遭受大规模分布式拒绝服务攻击，导致多个国家的网站宕机下线。攻击发生时，服务器充斥大量流量，破坏了对用户的服务，使多个国家的维基百科无法连接。此次攻击主要影响了欧洲和中东用户，几小时后基本恢复服务，但事件仍在调查中。
高德信息技术有限公司深圳地区服务器在 2019 年 8 月 30 日晚遭受 DDOS 攻击，服务器处于黑洞状态长达 5 个小时，较长时间不能正常运营。攻击者尼某某利用 “压力测试” 平台对高德服务器进行攻击，后被判处有期徒刑一年四个月，并没收犯罪所用工具。
ChatGPT 也多次遭受 DDOS 攻击。11 月 6 日，OpenAI 在美国旧金山举办首届开发者大会后两天，ChatGPT 就遭到了 DDoS 攻击，导致反复停机，接口及相关 API 均受到影响。ChatGPT 曾因遭遇 DDoS 攻击宕机近 6 个小时，OpenAI 一直在解决过去 24 小时内针对其 API 和 ChatGPT 服务的 DDoS 攻击导致的「周期性中断」问题。

（二）游戏服务器之困

手游《Pokemon GO》在服务范围拓展至全球 26 个国家和地区后，频频曝出游戏无法登录的现象。虽然该公司向外界表示是由于过多的游戏玩家同时涌入登录服务器，致使服务器超负荷而引发宕机，但实际上有黑客组织如 OurMine、PoodleCorp 等纷纷发声表示，Pokemon GO 服务器的宕机是因为他们发动了大规模的 DDoS 攻击造成的。Pokémon Go 成为 DDoS 的攻击目标，导致服务器频繁宕机，只能偶尔断断续续地提供服务。两个黑客团队都声称要进行 DDoS 攻击，而游戏的制作者 Niantic 却拒绝承认或否认指责，只在网站上发布消息称服务器遇到了问题，正在紧急修复。2016 年，全球范围内的 DDoS 攻击未减反增，有超过 55% 的 DDoS 攻击都指向了游戏行业，让不少游戏公司大为头疼。面对不法黑客的持续攻击，游戏公司在网络安全层面上的投入必须要提到日程上来，以提升玩家的游戏体验，减少玩家流失。

三、判断服务器被攻击的方法

判断服务器被 DDOS 攻击的方法

1. 带宽被大量占用
DDOS 攻击最明显的一个特征就是通过占用目标服务器资源，从而造成目标服务器因资源耗尽无法正常运行。相对于大型企业服务器来说，中小企业的服务器在带宽资源的选择上大多不会太大，所以一旦被 DDOS 攻击，带宽资源被占据后，正常的流量就会很难满足服务器的运行需求。数据显示，如果服务器带宽占用比率为百分之九十的话，极有可能是遭受到了 DDOS 攻击了。
2. 无法连接到服务器
无法正常连接服务器，服务器没有任何导致故障出现的理由时，我们可以考虑一下服务器是否是因为遭遇了 DDOS 攻击，因为服务器被 DDOS 攻击时，是会造成电脑死机或蓝屏的问题的，相对应的对于服务器来说也是会直接出现服务器死机无法被正常访问的问题。例如，当服务器网站被大量 DDoS 攻击时，可能会造成服务器蓝屏或者死机，这时就意味着服务器已经连接不上了，网站出现连接错误的情况。
3. 内存被占用
DDOS 攻击还有一个攻击模式，就是会利用攻击软件，针对服务器发送大量垃圾请求，导致服务器被大量垃圾数据占用，使得网站出现打开缓慢的问题。DDoS 攻击是一种恶意性的资源占用攻击，攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，这样网站就会出现打开缓慢的情况。如果服务器某段时间突然出现 CPU 占用率过高，那么可能是网站受到 CC 攻击影响。
4. 域名 ping 不出 IP 的情况
这其实也是 DDoS 攻击的一种表现，只是攻击者所针对的攻击目标是网站的 DNS 域名服务器。在出现这种攻击时，ping 服务器的 IP 是正常可以连通的，但网站页面不能正常打开，并且在 ping 域名时会出现无法正常 ping 通的情况。

四、攻击后的服务器指示灯状态探讨

受 DDOS 攻击导致服务器宕机后，服务器指示灯的状态会因不同的服务器类型和硬件配置而有所差异。一般来说，服务器指示灯可能会出现以下几种状态：

（一）指示灯熄灭

部分服务器在宕机后，指示灯可能会完全熄灭。这可能是由于服务器的电源系统受到严重影响，导致供电中断。例如，在一些严重的 DDOS 攻击中，攻击流量可能会使服务器的电源模块过载，触发保护机制，从而切断电源供应，使指示灯熄灭。

（二）指示灯常亮或闪烁异常

在某些情况下，服务器指示灯可能会常亮或闪烁异常。这可能是因为服务器虽然宕机，但部分硬件仍在尝试恢复或处于故障状态。比如，服务器的主板可能在检测到系统故障后，发出特定的指示灯信号。数据显示，约有 30% 的服务器在遭受严重攻击宕机后，会出现指示灯常亮或闪烁异常的情况。

（三）不同颜色指示灯的含义

很多服务器配备了多种颜色的指示灯，每种颜色可能代表不同的状态。例如，绿色指示灯通常表示服务器正常运行，而黄色或橙色指示灯可能表示服务器处于警告状态，红色指示灯则往往表示服务器出现严重故障。在遭受 DDOS 攻击后，服务器的指示灯颜色可能会发生变化，以提示管理员服务器的状态。例如，如果红色指示灯亮起，说明服务器可能已经遭受了严重的攻击，导致系统出现重大故障。
服务器指示灯出现不同状态的原因主要有以下几点：
首先，DDOS 攻击会导致服务器的资源被大量消耗，包括 CPU、内存、网络带宽等。当这些资源耗尽时，服务器可能无法正常运行，从而影响到指示灯的状态。例如，CPU 过载可能会导致服务器的温度升高，触发温度传感器，使指示灯显示异常。
其次，攻击流量可能会对服务器的网络设备造成影响，如网卡、交换机等。如果网络设备出现故障，可能会导致服务器的指示灯状态发生变化。例如，网卡故障可能会使服务器的网络连接指示灯熄灭或闪烁异常。
最后，服务器的电源系统也可能受到 DDOS 攻击的影响。如果攻击流量导致服务器的电源负载过高，可能会触发电源保护机制，使服务器宕机，同时影响指示灯的状态。例如，电源过载可能会使服务器的电源指示灯熄灭或闪烁红色。
综上所述，遭受 DDOS 攻击导致服务器宕机后，服务器指示灯的状态可能会发生多种变化，这些变化可以为管理员提供一些关于服务器状态的线索，但不能完全确定服务器的具体故障情况。在遭受 DDOS 攻击后，管理员应及时采取措施，如清理恶意流量、增加服务器资源、使用 CDN 和 DDoS 防御服务等，以尽快恢复服务器的正常运行。

五、防御 DDOS 攻击的策略

增加带宽

增加带宽是一种应对 DDOS 攻击的方法。数据显示，当网络带宽直接决定了承受攻击的能力，只要带宽大于攻击流量就不怕了，但成本非常高。例如，如果仅有 10M 带宽的话，无论采取什么措施都很难对抗现在的 SYN Flood 攻击，当前至少要选择 100M 的共享带宽，最好的当然是挂在 1000M 的主干上了。不过需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M 的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为 10M。

使用流量清洗服务

流量清洗服务是一种有效的 DDOS 防御措施。小蚁云安全通过发往特定 IP 地址范围的流量将重定向到清理数据中心，其中攻击流量将得到 “清理” 或清洗。然后，只有真实的流量才会转发到目标目的地。鉴于安全攻击和 IT 基础架构的复杂性，越来越多的企业开始采用混合保护模型，以抵御最广泛的潜在攻击媒介。通常以内部部署系统作为第一道防线，当内部部署技术不堪重负时，便会利用清理中心。

采用负载均衡技术

负载均衡技术能够将流量分布到多个服务器上，从而减轻单个服务器的负载。通过将流量平均分配到多个服务器上，可以增加服务器的处理能力，提高系统的可用性，降低受到 DDOS 攻击的影响。例如，负载均衡扩展了应用的服务能力，增强了应用的可用性。负载均衡通过设置虚拟服务地址，将添加的 ECS 实例虚拟成一个高性能、高可用的应用服务池，并根据转发规则，将来自客户端的请求分发给云服务器池中的 ECS 实例。负载均衡默认检查云服务器池中的 ECS 实例的健康状态，自动隔离异常状态的 ECS 实例，消除了单台 ECS 实例的单点故障，提高了应用的整体服务能力。此外，负载均衡还具备抗 DDoS 攻击的能力，增强了应用服务的防护能力。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。