概念：dos攻击，让你的计算机或网络无法提供正常访问。

现象：流量监控系统显示下行的红色曲线，邮件报警，发现web服务器异常，网站访问量瞬间暴跌

常见方式：计算机网络带宽攻击和连通性攻击

排查思路：

先检查了web服务器日志，没有异常。查看防火墙日志和路由器日志，发现部分可疑流量，进而发现攻击时，路由器日志里有大量64字节的数据包，还有大量的“UDP-other”数据包，而web服务器日志还是正常。

解决方式：

SYN洪泛式攻击，利用tcp三次握手，由伪造的IP地址向目标端发送请求报文，而目标端的响应报文永远无法发送，如果有成千上万的这种连接，目标端等待关闭连接的过程会消耗大量的主机资源

1、禁止所有发给目标IP的UDP包，这种做法会让服务器丧失部分功能，如：DNS.

好处：减轻了web服务器的压力，web可以正常工作

弊端：攻击仍然可以到达web，影响网络性能

2、联系上游带宽提供商，暂时限制网站端口的UDP进入流量，降低网络到服务器的流量

3、统计SYN_RECV的状态，发现有大量的tcp同步数据包，但是连接上的却没有几个

[root@xiaoya ~]# netstat -an|grep SYN_RECV|wc -l

1522

或者查看当前最大连接数

明显是收到了dos攻击

4、解决策略

http://blog.csdn.net/taiyang1987912/article/details/40039755