一、最直观的异常表现(先看这个)
如果突然出现以下情况,很可能正在被攻击:
- 网站/业务突然无法访问
- 页面加载极慢,频繁超时
- 远程连接(SSH / RDP)卡顿或断连
- Ping 延迟暴涨、丢包严重
- 正常访问量不高,但服务器明显“跑不动”
二、通过服务器状态判断(最关键)
1️⃣ 带宽是否被打满
iftop
nload
无正常流量却跑满带宽 → 高概率 DDoS
2️⃣ 连接数异常暴增
netstat -an | wc -l
ss -s
- 大量 SYN_RECV / ESTABLISHED
- TCP 连接数远超平时 → 可疑
3️⃣ CPU / 内存异常
top
htop
- CPU 长时间 100%
- 进程无异常却资源被吃光 → 可能是 CC 攻击
三、通过日志快速识别(进阶)
Web 日志(Nginx / Apache)
tail -f /var/log/nginx/access.log
关注:
- 同一 IP 高频访问
- 同一 URL 被反复请求
- User-Agent 高度重复
👉 多为 CC 攻击
四、如何进一步确认?
- 云厂商控制台是否有 流量告警
- 高防/防火墙是否触发 攻击日志
- 流量曲线是否突然“直线上升”
五.一句话总结
带宽满但访问少 → 多半是 DDoS
带宽正常但服务器卡 → 多半是 CC
