教你如何判断是否受到攻击！

现在不管网吧光纤或者家庭宽带用户,经常受到攻击.具体判定方法如下：

　　找一台配置较高，网卡品质较好的电脑，把外部接入互联网的网线插入到该电脑的网卡上并设置好外网IP地址和网关，然后按照以下步骤进行观察分析。

　　1、SYNFlood攻击判定

　　（1）网上邻居->右键选“属性”->双击网卡，观察每秒收到的包数量，若大于500，则可以肯定是受到了SYNFlood攻击。

　　（2）开始->程序->附件->命令提示符->C:\>netstat �Cna，若观察到大量的SYN_RECEIVED的连接状态，则说明遭受了SYNFlood攻击。

　　（3）网线插上后，服务器立即凝固无法操作，拔出后有时可以恢复，有时候需要重新启动机器才可恢复，则也说明遭受了SYNFlood类的流量攻击。

　　（4）下载一些网络管理软件监控.

　　2、TCP多连接攻击判定

　　开始->程序->附件->命令提示符->C:\>netstat �Cna，若观察到很多外部IP地址都与本机的服务端口建立了几十个以上的ESTABLISHED状态的连接，则说明遭到了TCP多连接攻击。

　　多年的统计数据表明，想彻底解决DDOS是几乎不可能的，就好比治疗感冒一样，我们可以治疗，也可以预防，但却无法根治，默认情况下，绝大多数服务器难以抵御每秒1000个以上SYN的攻击。

　　以下方案仅针对网关机进行的。

　　1、免费DDOS解决方案

　　通过优化Windows 2000或2003系统的注册表，可有效对抗每秒约1万个左右的SYN攻击，方法是把以下文本内容存盘为antiddos.reg然后导入注册表并重新启动即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

　　此方案的优点是，采用系统自身的能力来解决问题，而无需任何花费，缺点是只能抵御每秒少于10000的SYN攻击，并且无法解决TCP多连接攻击。

解决方法:
外网受攻击:
a:最快的解决方法就是换IP,但换IP并不是治根的方法,可能过一段时间,在攻击方发现你IP改动时,他也会重新攻击你的新IP.
b:找当地的网络供应商(如你用的是电信,那么你就找电信),常规情况下,很多人找电信也是无劳而终.他们也声称解决不了你的问题.对于一些高端的技术问题,还得靠市局的人来管理.既然这样,那么我们又可以怎么办呢?根据个人的经历,你可以向电信局申请封锁你网吧所用IP的所有端口,就像你在路由上封锁你内网机子的所有端口一样.此方法目前是最有效的.但要办到好做到,有可能你得发点小钱送点小礼,要不人家不一定会帮你办事.原理:目前无论是什么攻击方式,都会指着对方的端口进行攻击,如果在电信这边把你的端口给封锁了,那么攻击者发过来大量的数据包就会在电信机房被拦截,网吧就相安无事了.缺点:网吧所有对外端口全部不能用(如CS及其它私服或web之类的服务器,对外端口即使在你的路由上映射了,也一样没用)!
c:俗话说:冤有头债有主,要么你网吧得罪了旁边的网吧,要么就是纯属生意竞争.自己想办法找到冤头和解.如若不能解决,你也进行DDOS反击.
d:本人对此做出的忠告:不要相信买什么防火墙可以解决此问题,也不要相信谁给你在路由里设置一下能解决问题,相关此类受骗的例子太多了,我也不想多重复.
内网受攻击:
a:现在病毒要多疯狂就有多疯狂,就拿最近的IGM病毒来说,他一样可以让你的网络掉线,如果你不去查.那么你就冤了.相关的排查及解决方法,请关注各大网吧论坛及最近流行的新种病毒.因为每种病毒的排查方式及解决方都不一样.我在这里也不多说.
b:如果觉得网吧技术水平有限,建议请当地比较资深的网维队伍把系统换一下,无论是什么病毒,只要你系统做得好,防得好,病毒也很无奈.

c:去年ARP泛滥的时候,我经常告诉网吧这么做的.五个字"全网吧断电".原因:部分病毒并不一定能穿透你的还原系统,那第在断电后,所有的设置(如果是占据在交换机里的还是在服务器上的)都可以恢复原样.所有未穿还原的病毒也会自动消失.注:此方法也是治标不能治本的方法.做好系统本身的防范才是最重要的!