在運維和開發的日常工作中，CPU占用率突然飆升至100%往往是一個令人緊張的信號。這可能意味著服務器正在遭受攻擊，但也可能是由于某些正常的、但資源密集型的任務或進程造成的。本文將探討如何識別和應對服務器的異常CPU占用情況，并通過Python腳本示例，提供一種監控和診斷CPU占用率的方法。

一、CPU占用率100%：攻擊or正常？

1.1 攻擊跡象

• 持續性高占用：如果CPU占用率長時間保持在100%，且沒有明顯的原因（如定期執行的大規模數據處理任務），則可能是受到DDoS（分布式拒絕服務）攻擊或其他類型的惡意活動。
• 網絡流量異常：檢查網絡監控工具，如Nginx日志或Wireshark捕獲的數據包，看是否有異常的流量模式，這通常是攻擊者嘗試訪問或利用服務器資源的跡象。

1.2 正常現象

• 計劃任務或批處理作業：例如，定期備份、大數據分析或視頻轉碼等任務會暫時性地占用大量CPU資源。
• 軟件升級或更新：系統或應用程序的升級過程也可能導致CPU使用率升高。

二、如何判斷服務器是否被攻擊

2.1 監控與分析

使用系統自帶的工具或第三方監控軟件來持續監控服務器狀態。以下是一個簡單的Python腳本，用于實時監控并記錄CPU使用率：

import psutil
import timedef monitor_cpu_usage():while True:# 獲取當前CPU使用率cpu_percent = psutil.cpu_percent(interval=1)print(f"Current CPU usage: {cpu_percent}%")# 如果CPU使用率達到100%，記錄時間戳if cpu_percent == 100:with open('cpu_usage_log.txt', 'a') as f:f.write(f"Critical CPU usage detected at {time.strftime('%Y-%m-%d %H:%M:%S', time.localtime())}\n")time.sleep(5)  # 每隔5秒檢查一次if __name__ == "__main__":monitor_cpu_usage()

2.2 日志審查

審查系統和應用日志，尋找異常登錄嘗試、未授權訪問或任何不尋常的活動記錄。Linux系統中，/var/log目錄下的日志文件通常包含關鍵信息。

2.3 網絡流量分析

使用Wireshark、Tcpdump等工具分析網絡流量，查找異常數據包或源IP地址，這有助于識別潛在的攻擊源。

三、應對措施

一旦確定服務器受到攻擊，應立即采取行動：

• 增加防火墻規則：阻止已知的惡意IP地址。
• 升級安全補丁：確保所有軟件都是最新版本，修復已知的安全漏洞。
• 隔離受影響的服務器：如果可能，暫時斷開其網絡連接，直到威脅被清除。
• 通知安全團隊：如果是大型組織，及時與內部安全團隊溝通，以便采取進一步的防護措施。

總結：雖然CPU占用率達到100%可能是攻擊的跡象，但也有許多正常情況下會發生的情況。通過持續監控、日志審查和網絡流量分析，可以有效識別并應對潛在的威脅。上述Python腳本提供了一個基礎的監控框架，可根據具體需求進行擴展和定制。