如何区分DDoS攻击和DoS攻击？

Question

我的服务器在特定端口上受到攻击，但我很困惑是DDoS攻击还是DoS攻击(如果它需要僵尸网络，还是正在使用某种技巧)。整个服务器都可用(网站、SSH、SMTP等)除了港口被袭击了。

在该端口上运行的服务是使用8-10%的CPU和大约900 MB的RAM (这是正常的，甚至更低的) DoS定义？

我的提供者已经检测到它是DDoS攻击，并将我的服务器发送到缓解基础设施。

我试图使用iptables阻止来自该端口的所有传入通信量，只允许我的IP地址而没有成功，该服务仍然不可用(我试图终止进程-9，并在所有连接被阻塞时再次启动它)。

iptables -A INPUT -p tcp --dport xxxx -s myip/32 -j ACCEPT
iptables -A INPUT -p udp --dport xxxx -s myip/32 -j ACCEPT
iptables -A INPUT -p tcp --dport xxxx -j DROP
iptables -A INPUT -p udp --dport xxxx -j DROP

奇怪的是，如果我在另一个港口打开服务，一切都很好。服务器的响应就好像它没有受到攻击一样，所有其他应用程序也是如此。

tcpdump检测大量UDP数据包，如下所示：

No: 6610
Time: 3.517741
Source: 84.35.69.7
Destination: My server
Protocol: UDP
Length: 46
Info: 18926 -> xxxx Len=4

我想知道如何诊断这种攻击，因为我仍然是这个网络世界的新手，或者我是否错过了做什么。

Answer 1

DoS和DDoS的主要区别在于，DDoS (分布式)需要多个主机来淹没一个或多个目标服务器，换句话说，DDoS的体积要大得多。在您的情况下，如果您的服务器可以提供目标端口以外的其他服务，并且占用很少的物理资源，那么您目前很可能是DoS的受害者，这意味着一台特定的计算机已经扫描了一个开放端口并正在尝试使其饱和(例如，它可能是一次蛮力攻击，尝试将多个凭据组合到服务上以便登录或SYN洪水攻击，有多种可能性可供选择)。另外，如果您参与了DDoS攻击，那么整个服务器很可能根本无法提供任何类型的服务。