Log-Files
您使用什麼標準來確定是否有人在敲擊您的伺服器?
當您查看日誌時,您使用什麼標準來確定是您(即:您需要加強伺服器)還是他們(即:他們正在接近 DoS)?您認為每秒多少個連接是合理的,為什麼?您是否有其他規則(例如:對也推薦垃圾郵件的 IP 進行加權?)
理想情況下,您不必手動查看這些跡象的日誌,它們應該設置為生成自動 SNMP/郵件陷阱的警報門檻值,並在某些情況下啟動先發製人措施。
至於具體規則,每秒連接數或類似規則會因硬體而異,但始終如一的高 CPU 使用率 (80%+) 通常會引起關注,記憶體和磁碟隊列長度也是如此。
在以前的雇主中,我們使用腳本來監控日誌文件的增長,並在一天中的那個時間出現異常增長時向系統管理員團隊發出警報。在我們設法對其進行調整之前,它會發出一些錯誤警報(即 - 找出一天/季節中某些時間的常見情況),但過了一段時間它執行平穩。