伺服器CPU跑满问题，遭受流量攻击？

阿里云伺服器，这几天老是CPU盘跑满，然后网站就访问不了了，之前云盾有提示一直遭受外部流量攻击。跑满的时候重启一下伺服器，过了一会又CPU跑满，有时候访问网站的时候还会提示资料库连接错误，求大神指导。

到资料库里面show processlist看看当前资料库在执行什么，是不是有大量连接卡在某个资料库慢查询上面。

打开资料库慢查询日志，看看日志里面能不能捕捉到一些可疑的慢查询。

apache有一个server status设置项，开起来可以通过一个URL来看当前Web伺服器状态，看能不能捕捉到一些可以迹象。

首先cpu跑满是什么导致的？纯粹的网路流量？还是动态页面处理，还是资料库query？

对症下药吧，但是假如是ddos的话我觉得都非常棘手，因为跑满一个网口太容易了。

CUP使用率如果经常百分百的话，很可能是受到cc攻击。cc攻击，是一种以网站页面为攻击目标的应用层攻击，攻击时选择伺服器开放的页面中需要较多资源开销的应用。例如占用大量cpu资源进行运算或需要大量访问资料库的应用。因此攻击会造成伺服器CPU使用率百分之百。cc攻击的特点：很小的流量达到拒绝服务的效果；正常访问特征，攻击特征不明显，没有长时间的半开连接，也没有大量的tcp或UDP的syn包流量出现，很难与正常访问区分。

cc攻击的检测方法：

1.cookie认证，验证浏览器端cookie； 2.通过HTTP_X_FORWARDED_FOR变数检测代理伺服器，提供代理时会通过HTTP_X_FORWARDED_FOR变数发送原始的用户ip地址，根据这个变数可以统计在一段时间内同一原始ip通过不同的代理伺服器发送了多少个访问请求，如果超出正常值，就可以认定为攻击行为； 3.将页面中需要进行数据访问或者较复杂处理的内容放在一个重定向指令之后，访问该页面得用web伺服器访问重定向功能先让用户访问一个简单的预处理页面，由预处理页面记录用户访问信息，并进行认证，通过认证的请求重定向到执行用户访问请求的页面，对用户访问信息设置过期，如果一段时间内出现大量用户信息过去，就可以判断出页面正受到攻击； 4.建立网站各个页面访问量分布模型，当用户访问分布情况发生较大的变化时，可以判定为发生cc攻击了。

cc攻击的防御只需要在伺服器上装上相应的伺服器安全防御软体就可以达到效果了，至于这类的软体可以百度上自行搜索，伺服器安全狗效果不错，建议可以考虑。

找对靠谱的安全厂商进行防御，59盾了解下

就我所知，阿里云主机带宽价格极贵（100M带宽差不多1万/月），我以猜测你不可能上百M的出口带宽。这么小的带宽受到ddos攻击，能把cpu跑满的，估计cpu都在等IO了。

有sar收集下性能数据和流量数据再来问吧。

先把所有服务能关的关了，然后一个个检查日志有没有奇怪的访问，