CPU 使用率：正常情况下，服务器的 CPU 使用率会保持在一个相对稳定的水平，并且会随着业务的正常波动而变化。然而，当遭受 DDoS 攻击时，大量的恶意请求会使 CPU 忙于处理这些无效的任务，导致 CPU 使用率急剧上升，甚至可能达到 100%。我们可以通过 top 命令来实时查看服务器的 CPU 使用率。

内存使用率：DDoS 攻击不仅会消耗 CPU 资源，还可能导致内存使用率异常升高。攻击者发送的大量请求可能会导致服务器创建大量的进程或线程，这些进程和线程会占用大量的内存空间。同时，服务器在处理这些请求时，可能会缓存大量的数据，进一步加剧内存的消耗。当内存使用率过高时，服务器可能会出现频繁的内存交换（swap）现象，导致系统性能急剧下降。我们可以使用 free -m 命令来查看服务器的内存使用情况。

带宽利用率：带宽是服务器与外界通信的 “高速公路”，而 DDoS 攻击往往会通过发送大量的数据包来堵塞这条 “高速公路”，导致带宽利用率急剧上升。当带宽被占满时，合法用户的请求就无法正常传输，服务器也就无法正常提供服务。我们可以使用 iftop 命令来实时监控服务器的网络带宽使用情况。

连接数：DDoS 攻击还会导致服务器的连接数异常增加。攻击者会通过大量的虚假连接来占用服务器的资源，使得服务器无法处理正常的连接请求。我们可以使用 netstat 命令来查看服务器的当前连接数。例如，输入 netstat -an | grep ESTABLISHED | wc -l 命令，可以统计出当前处于 ESTABLISHED 状态（即已建立连接）的连接数。如果这个数值远远超过了正常业务的连接数，那就需要注意是否遭受了 DDoS 攻击。此外，还可以通过 netstat -anp | grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr 命令来查看每个 IP 地址与服务器的连接数，找出连接数异常高的 IP 地址，这些 IP 地址很可能就是攻击者的来源 。

日志文件分析

系统日志：系统日志通常位于 /var/log 目录下，其中 messages 文件记录了系统的各种重要信息和事件。在遭受 DDoS 攻击时，我们可能会在 messages 文件中看到大量与网络连接相关的错误信息，如 “Connection reset by peer”“Too many open files” 等。这些错误信息可能表明服务器正在遭受大量的恶意连接请求，导致系统资源耗尽。此外，还可以查看 syslog 文件，它记录了系统的各种日志信息，包括内核日志、应用程序日志等。在 syslog 文件中，我们可能会发现一些异常的网络活动记录，如大量的来自同一 IP 地址的连接请求、频繁的端口扫描等，这些都可能是 DDoS 攻击的迹象。

Web 服务器日志：如果你的 CentOS 服务器运行着 Web 服务，那么 Web 服务器日志也是分析 DDoS 攻击的重要依据。以常见的 Apache 服务器为例，其日志文件通常位于 /var/log/httpd 目录下，其中 access_log 文件记录了所有的 HTTP 访问请求，error_log 文件记录了 HTTP 访问过程中出现的错误信息。在遭受 HTTP 洪水攻击或 CC 攻击时，我们可以在 access_log 文件中看到大量来自同一 IP 地址或同一网段的 HTTP 请求，这些请求的频率和数量远远超过正常水平。同时，在 error_log 文件中，可能会出现大量的 “503 Service Unavailable” 错误信息，这表明服务器由于资源耗尽，无法正常处理 HTTP 请求 。

防火墙日志：防火墙是服务器的第一道防线，它会记录所有通过防火墙的网络流量信息。在 CentOS 系统中，常用的防火墙是 iptables，其日志文件通常位于 /var/log/messages 或 /var/log/syslog 中。当防火墙检测到异常的网络流量时，会将相关信息记录到日志中。