服务器被DDoS攻击如何查看攻击源IP地址？

在当今互联网环境中,服务器面临DDoS（分布式拒绝服务）攻击的风险日益增高，这类攻击通过海量恶意请求耗尽服务器资源，导致服务不可用，快速定位攻击源IP是应对攻击的关键第一步，本文将系统介绍服务器被DDoS攻击时查看攻击IP的方法、工具及注意事项，帮助管理员有效识别威胁。

通过系统日志分析可疑IP

系统日志是记录服务器运行状态的第一手资料,当DDoS攻击发生时，服务器会接收到大量异常请求，这些请求的来源IP往往会留在日志中，管理员可通过分析以下日志文件定位攻击IP：

Web服务器日志

若服务器运行Nginx、Apache等Web服务，访问日志（如Nginx的access.log、Apache的access_log）会详细记录每个请求的IP、时间、URL及User-Agent等信息，DDoS攻击时，日志中会出现短时间内同一IP的大量请求，或请求异常路径（如频繁访问/admin、/api等敏感接口）。
分析步骤：

• 使用grep、awk等命令统计高频IP，统计Nginx日志中1小时内请求次数最多的100个IP：

  grep "2023-10-01 10:" /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 100

• 结合iptables或firewalld查看该IP的请求特征，如是否为短时间大量连接、请求内容是否异常（如携带恶意参数）。

系统内核日志

DDoS攻击可能导致系统资源耗尽,内核日志（/var/log/kern.log或dmesg）会记录网络连接异常信息，SYN Flood攻击时，内核日志可能出现大量“listening on [any] NNNN”或“drop connection from xxx”的警告。
分析技巧：

• 使用grep过滤与网络相关的错误信息，重点关注频繁出现的IP：

  dmesg | grep -i "network|connection" | grep -oE "[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}"

利用网络监控工具实时捕获攻击IP

当攻击流量较大时,系统日志可能因写入延迟而无法实时反映情况，此时需借助网络监控工具直接抓取数据包，分析攻击源IP。

tcpdump：轻量级网络抓包工具

tcpdump是Linux下常用的命令行抓包工具，可通过过滤规则捕获特定流量，抓取80端口1分钟内的所有访问IP：

tcpdump -i eth0 -nn port 80 -c 1000 -w capture.pcap

抓包后使用Wireshark打开capture.pcap文件，通过“Statistics→Endpoints→IPv4”查看通信频率最高的IP，或通过“Protocol Hierarchy”分析异常流量类型（如UDP Flood、ICMP Flood）。

iftop/nethogs：实时流量监控工具

• iftop：按实时流量大小排序显示连接IP，可快速定位占用带宽的异常主机，运行iftop -i eth0 -nP，观察“=>”发送流量或“<=”接收流量中占比最高的IP。
• nethogs：按进程监控网络占用，可判断攻击流量是否来自特定进程（如恶意程序），运行nethogs -d 5，每5秒刷新一次进程流量，异常进程对应的IP即为可疑目标。

通过防火墙与流量清洗平台获取攻击IP

防火墙作为服务器的第一道防线,会记录被拦截的流量信息；而流量清洗平台（如阿里云DDoS防护、酷番云大禹）能提供更专业的攻击分析报告。

防火墙日志分析

• iptables：通过iptables -L -n -v查看规则链的包计数和字节计数，若某条规则（如限制连接数）频繁触发，记录的IP即为攻击源，查看被DROP的IP：

  iptables -L INPUT -n -v | grep DROP | awk '{print $8}' | sort | uniq -c

• firewalld：使用firewall-cmd --list-all查看区域规则，或通过journalctl -u firewalld查看防火墙日志，重点关注BLOCK或REJECT动作对应的IP。

云平台流量清洗报告

若服务器部署在云环境,云厂商的DDoS防护系统会自动识别并清洗攻击流量，并提供详细的攻击报告。

• 阿里云DDoS防护：在“安全防护→DDoS防护→攻击分析”中查看攻击流量趋势、源IP分布及攻击类型（如SYN Flood、UDP Flood）。
• 酷番云大禹：通过“DDoS防护→监控报表→攻击详情”获取攻击IP列表、请求量及端口信息，可直接将恶意IP加入黑名单。

结合安全工具深度分析攻击IP

对于复杂DDoS攻击（如反射攻击、慢速攻击），需借助专业安全工具进一步分析攻击特征，避免误判。

Netstat与lsof：检查活跃连接

使用netstat -an | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr查看当前活跃连接数最多的IP，或通过lsof -i查看进程对应的网络连接，定位异常IP。

安全信息与事件管理（SIEM）工具

企业级环境可通过ELK Stack（Elasticsearch、Logstash、Kibana）或Splunk收集服务器、防火墙、WAF的日志数据，通过关联分析识别攻击IP，设置告警规则：当某IP在1分钟内请求次数超过1000次时，自动标记为可疑IP并触发通知。

注意事项与后续处理

1. 区分真实用户与攻击IP：部分IP可能是NAT出口或代理服务器，需通过whois查询IP归属，或结合地理位置信息（如使用MaxMind GeoIP数据库）判断，避免误封正常用户。
2. 动态IP与僵尸网络：DDoS攻击常使用动态IP或僵尸网络，单一IP封禁效果有限，需结合限流（如iptables的recent模块）、IP黑名单、CDN加速等综合防护措施。
3. 法律手段：对于大规模攻击，可向ISP举报恶意IP，或通过网络安全机构协助溯源，保留日志作为证据。

通过系统日志、网络监控工具、防火墙及云平台的多维度分析，管理员可快速定位DDoS攻击源IP，为后续的流量清洗、访问控制等应急响应措施提供依据，日常应加强服务器安全配置（如关闭非必要端口、更新系统补丁），并部署专业的DDoS防护设备，降低攻击风险。