我在 DDOS 下嗎？

我有一個郵件伺服器，Debian Linux 2.4.31，它正在丟棄 TCP 連接並且基本上不可用。我在上面執行了 iptables，它的限制非常嚴格。

當我執行“netstat -tanp|wc -l”我得到 366 而“cat /proc/net/ip_conntrack | wc -l”給我 124172 因為我增加了 /proc/sys/net/ipv4/ip_conntrack_max 因為我會看到“ip_conntrack：表已滿，丟包。” 在 dmesg 輸出中，是的，儘管我確實增加了最大值，但我仍然看到那些。

我會/應該啟用 tcp syn cookie，但出於某種奇怪的原因，核心是在沒有它的情況下編譯的，所以如果不重新編譯它我就無法繼續。

我只是想知道這些症狀是否描述了 DDOS，所以我會繼續添加 tcp_syn_cookies。

謝謝。

真正了解的唯一方法是檢查傳入的流量。tcpdump在一段時間內使用面向外部的介面進行網路擷取。

tcpdump -s 1500 -w <filename>.pcap -i <interface>

^C 當你認為你已經擷取了足夠的數據時。然後最好將 pcap 文件複製到具有 GUI 的機器並使用Wireshark進行檢查。

這應該能夠讓您很好地了解下一步從哪裡開始。您可能不是在處理 DDOS，而是可能會處理大量垃圾郵件或埠掃描。

引用自：https://serverfault.com/questions/62675