如何识别DDoS攻击？

Question

我正在经历间歇性的，非常奇怪的服务器负载跳跃，通常以服务器不可用而告终。服务器在Wordpress，Apache，MySQL上运行一个流量很高的网站。已经安装了一个插件(Hypercache)，它通过缓存整个页面来最小化mysql的使用。然而，每次负载激增时，mysql最终都变得不可用。在此期间，平均负载从2跳到30-40，而apache似乎处理了很多请求(我在日志文件中看到了关于到达MaxClients的消息)。

我的问题是:我如何知道这是合法流量还是DoS攻击？如果是DoS，我如何确定它是什么类型的攻击，并保护自己免受攻击？

服务器运行FreeBSD 7、Apache2.2、MySQL 5.1

Answer 1

我们注意到一个类似的现象，如果您启用Apache的服务器状态模块，您可以看到正在发生的事情。对我们来说，这是由寻找phpMyAdmin安装来利用的扫描仪造成的。由于WordPress处理每个请求的方式，负载迅速增加。WP超级缓存为WordPress带来了巨大的不同。我还创建了一些全局RedirectMatch规则，在访问任何PHP/MySQL驱动的站点之前拦截这些扫描器请求。

Answer 2

您可以通过从TrafShow端口安装FreeBSD来查看服务器的流量。很像ps，但是您看到的是流量流，而不是进程ID。