服务器流量突然过高怎么解决

在使用服务器的过程中，经常会碰到流量异常，时不时的流量很高。遇到这样的情况，可能是以下几点原因：

1.服务器被暴力破解

2.服务器被攻击DD/CC

遇到这种情况，该如何分析呢？

一、首先，可以先登录服务器里面检查服务器日志，看看是否有IP多次异常登录并显示登录失败的请求，如果显示多次登录失败，说明有人正在尝试暴力破解登录你的服务器，占用了你过多的带宽资源。解决办法：把异常请求的IP加入到防火墙的黑名单中；端口改成随机5位，尽量复杂些；密码更改复杂些，安全系数高避免被恶意破解。若已经被暴力破解了，建议重装下系统。不管怎样，预防大于治疗，提前做好安全防护措施是非常有必要的。

二、其次，检查下服务器的80端口连接数，看看80端口连接数是不是很多，这个要结合用户自己平常对访问流量的一个掌握，一般情况下80连接数几百是正常的，假如上千到万了，很有可能就是被攻击导致的流量异常。那如何查看80连接数呢？如何查看80端口连接数：Windows系统：在运行cmd里面输入此命令：netstat -ano|findstr "8080"或者netstat -an |find /c ":80"Linux系统：netstat -nat|grep -i '80'|wc -l

那又有什么解决办法呢。若是被攻击了导致的流量异常，一般情况下服务器商会封掉被攻击的IP，等没有被攻击了，一定时间后会自动解封。这里要判别下是打IP还是打网站，可以把被攻击的IP下的站解析到其他的IP下。若这个换过的IP还是被打，很有可能是网站被攻击，一般情况下都是同行竞争引起的，这个时候建议使用高防类的服务器。若是换了IP，之前的被攻击的IP还是被打，那可能是打IP，可以找服务器商更换IP。这是日常工作总结出来的，欢迎共同交流，一起学习成长哈。

对服务器性能是会有一些影响，但最大的影响是你的服务器root密码被破解，被完全控制。ssh攻击的目的就是暴力破解你的密码。最直接的影响就是设备瘫痪（服务器死机）SSH暴力破解是指攻击者通过密码字典或随机组合密码的方式尝试登陆服务器（针对的是全网机器），这种攻击行为一般不会有明确攻击目标，多数是通过扫描软件直接扫描整个广播域或网段。 怎样防御暴力破解攻击？一：系统及网络安全1、定期检查并修复系统漏洞2、定期修改SSH密码，或配置证书登陆3、修改SSH端口4、禁Ping5、若你长期不需要登陆SSH，请在面板中将SSH服务关闭6、安装悬镜、云锁、安全狗等安全软件(只安装一个)

在公网中每时每刻都有人通过密码字典暴力破解试图登陆你的服务器，不信请看该日志文件大小du -sh `ls /var/log | grep btmp，该文件存储了ssh失败登陆的记录。文件越大/增长越快，说明你的服务器处于被别人暴力破解的危险中！为了避免这种危险，必须做好两点：

1. 修改SSH默认端口，

2. 使用强口令密码，不想看胡扯的请直接跳到后面。

整个网络空间中其实存在着很多弱口令服务器，假设弱口令服务器的用户名都为root、密码都为123456、SSH登陆端口都为默认的22。我有一台服务器在不停的用密码字典登陆这些弱口令机器，成功登陆的机器作为肉鸡（傀儡）继续登陆别的机器，假设一台服务器以2台/天的速度进行登陆，那么第一天我就有三台机器（包括自己的那台），第二天就是6+3=3^2=9台，第三天就是18+9=3^3=27台，第N天就是3^N台。

看到没有，肉鸡/傀儡服务器是以指数级别在增加的！

为什么有人不停登陆别人的机器，获得肉鸡？如果我手上有来自全世界的肉鸡，并且数量很多，那玩儿法可就多了：

看不惯哪个网站？操纵这些傀儡机器不停的请求该网站，让别人没法用，服务瘫痪，这就是传说中的DDoS攻击（分布式拒绝服务攻击）。

想赚点小钱，偷偷挖矿是你不二的选择，这么多肉鸡，虽然每一台计算能力不怎么样，但是联合起来也不容小。这种肉鸡俗称挖掘鸡（笑

肉鸡做代理？这个话题我就不深说了，大陆敏感话题… …

窥探肉鸡主人数据… 满足窥探欲

这么多肉鸡代表你有这么多IP，有大量IP能干什么？这又是另外一个庞大的话题了… …

一、基础知识

/var/log/wtmp用于记录登录成功的用户的信息，是一个二进制文件，只能通过 last命令来查看

查看尝试恶意登陆的前十个IP:

查看恶意IP尝试登陆次数:

当然，如果你要清理这个日志，删除在创建之

/var/log/btmp用于记录登录失败的用户的信息，是一个二进制文件，只能通过 lastb命令来查看

/var/log/lastlog用于记录用户的 历史 登录情况，是一个二进制文件，只能通过 lastlog命令来查看

/var/run/utmp用于记录当前登录的用户的信息，是一个二进制文件，只能通过 who命令来查看

二、修改SSH默认端口

环境：CentOS 7

步骤：新增SSH端口–>>重启sshd服务–>>添加防火墙规则–>>尝试新端口登陆–>>关闭原先的22端口

1、新增SSH端口（列：1000）

vi /etc/ssh/sshd_config

# 找到Port 22这行，将前面的注释去掉，再加一行Port 1000，如下，这样做的目的是防止新端口登陆不上，老端口也不能用！

2、重启sshd服务

如果是CentOS 7使用systemctl restart sshd，查看端口是否生效可以用systemctl status sshd

如果是CentOS 7以前的系统，使用/etc/init.d/sshd restart或者service sshd restart

重启以后可以本地测试一下端口通没通，telnet 127.0.0.1 1000

3、添加防火墙规则

如果是iptables防火墙，执行下面命令添加规则

# iptables配置文件位置/etc/sysconfig/iptables

# 添加1000端口规则

# 保存规则

# 重启服务

如果防火墙是Firewall，参照下面步骤：

# 首先检测防火墙是否已经启用，启用返回值runing，反之，为not running

#若没有启用，需要启用

# 若已经启用，则进行下一步

# 查看防火墙的默认、活跃区域（zones）

#看两条命令的返回值是否含有public，有则为正确。

# 端口永久开放

# 为了防止出错，22端口一同开放

# 与临时开放的区别在于多了permanent

# 防火墙重载

# 查看已暴露端口

4、尝试新端口登陆

尝试用1000端口进行登陆，看是否成功！

5、关闭原先的22端口

参考上面的操作，首先在ssh的配置文件去掉22端口，重启sshd服务，然后在防火墙配置里面去除22端口，重启防火墙！这里不再赘述。

6、修改弱口令为强口令

# 输入修改密码命令

#此时系统提示

# 输入两次密码并回车，注意输入密码时不会显示的

7、推荐：

shell随机密码生成函数：

# 生成随机密码 ($1 位数)

8、扩展

虽然上面修改端口和口令能够大大提升安全性，但是在某些情况下不能修改端口或口令，此时可以推荐 DenyHosts或者fail2ban，它可以禁止大量尝试登陆的IP。或者可以用最简单的办法，查看尝试恶意登陆的前十个IP然后用防火墙禁止它，这里只提供思路。

---