web故障

『壹』 web伺服器可能會存在那些問題應如何防範

（1）伺服器向公眾提供了不應該提供的服務。
(2)伺服器把本應私有的數據放到了可公開訪問的區域。用戶Web應用需要保存一些私有的、不能從Web訪問的數據，則根本無法找到滿足要求的位置。
(3)伺服器信賴了來自不可信賴數據源的數據。常見的安全問題是CGI程序或PHP腳本的質量低下，它們信任了來源不可靠的參數，未經嚴格的檢查就立即使用CGI參數。
防範措施：
（1）提供不應該提供的服務的防範措施：只開放必需的埠，關閉其餘的埠，關閉在自己的系統上運行那麼多的服務，而這些服務原本無需在正式提供Web服務的機器上運行，或者這些服務原本無需面向公眾開放。對於所有向公眾開放的服務，應該密切關注其程序的最新版本和安全信息，應該做好一旦發現與這些程序有關的安全問題就立即升級軟體的准備。
（2）伺服器公用目錄下的私有數據安全性的防範措施：設置Web伺服器，使它既提供私有數據存儲又提供公用頁面目錄。
（3）數據源的可靠性防範措施：通常，來自外面的數據（比如表單變數的數據）應該先傳入檢驗其合法性的函數。只有當檢驗函數表示表單提供的數據是安全的，才可以把表單數據復制到會話變數。Web應用應該把這種檢查集中到一起進行，應用的所有其餘部分永遠不應該直接接觸表單變數，而是應該使用經過檢查且確認安全的會話數據。

『貳』 什麼原因會導致web瀏覽器不可用

相信大家也有遇到過像IE不能上網瀏覽的問題。下面就來給大家介紹一下常見原因和解決方法： 一、網路設置的問題 這種原因比較多出現在需要手動指定IP、網關、DNS伺服器聯網方式下，及使用代理伺服器上網的。仔細檢查計算機的網路設置。 二、DNS伺服器的問題 當IE無法瀏覽網頁時，可先嘗試用IP地址來訪問，如果可以訪問，那麼應該是DNS的問題，造成DNS的問題可能是連網時獲取DNS出錯或DNS伺服器本身問題，這時你可以手動指定DNS服務（地址可以是你當地ISP提供的DNS伺服器地址，也可以用其它地方可正常使用DNS伺服器地址。）在網路的屬性里進行，（控制面板—網路和拔號連接—本地連接—右鍵屬性—TCP/IP協議—屬性—使用下面的DNS伺服器地址）。不同的ISP有不同的DNS地址。有時候則是路由器或網卡的問題，無法與ISP的DNS服務連接，這種情況的話，可把路由器關一會再開，或者重新設置路由器。 還有一種可能，是本地DNS緩存出現了問題。為了提高網站訪問速度，系統會自動將已經訪問過並獲取IP地址的網站存入本地的DNS緩存里，一旦再對這個網站進行訪問，則不再通過DNS伺服器而直接從本地DNS緩存取出該網站的IP地址進行訪問。所以，如果本地DNS緩存出現了問題，會導致網站無法訪問。可以在「運行」中執行ipconfig/flushdns來重建本地DNS緩存。 三、IE瀏覽器本身的問題 當IE瀏覽器本身出現故障時，自然會影響到瀏覽了；或者IE被惡意修改破壞也會導致無法瀏覽網頁。 四、網路防火牆的問題 如果網路防火牆設置不當，如安全等級過高、不小心把IE放進了阻止訪問列表、錯誤的防火牆策略等，可嘗試檢查策略、降低防火牆安全等級或直接關掉試試是否恢復正常。 五、網路協議和網卡驅動的問題 IE無法瀏覽，有可能是網路協議（特別是TCP/IP協議）或網卡驅動損壞導致，可嘗試重新網卡驅動和網路協議。 六、HOSTS文件的問題 HOSTS文件被修改，也會導致瀏覽的不正常，解決方法當然是清空HOSTS文件里的內容。 七、系統文件的問題 當與IE有關的系統文件被更換或損壞時，會影響到IE正常的使用，這時可使用SFC命令修復一下，WIN2000/XP/2003在「運行」中執行sfc/scannow嘗試修復。 其中當只有IE無法瀏覽網頁，而qq可以上時，這一般都是由於winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系統下存在）等文件損壞或丟失造成，Winsock是構成TCP/IP協議的重要組成部分，一般要重裝TCP/IP協議。但xp開始集成TCP/IP協議，可以使用netsh命令重置TCP/IP協議，使其恢復到初次安裝操作系統時的狀態。具體操作如下： 點擊「開始運行」，在運行對話框中輸入「CMD」命令，彈出命令提示符窗口，接著輸入「netshintipresetc：resetlog.txt」命令後會回車即可，其中「resetlog.txt」文件是用來記錄命令執行結果的日誌文件，該參數選項必須指定，這里指定的日誌文件的完整路徑是「c：resetlog.txt」。執行此命令後的結果與刪除並重新安裝TCP/IP協議的效果相同。 小提示：netsh命令是一個基於命令行的腳本編寫工具，你可以使用此命令配置和監視Windows系統，此外它還提供了互動式網路外殼程序介面，netsh命令的使用格式請參看幫助文件（在令提示符窗口中輸入「netsh/？」即可）。 第二個解決方法是修復以上文件，WIN2000/XP/2003使用sfc/scannow命令修復文件，當用sfc/scannow無法修復時。 八、ApplicationManagement服務的問題 出現只能上QQ不能開網頁的情況，重新啟動後就好了。不過就算重新啟動，開7到8個網頁後又不能開網頁了，只能上qq.有時電信往往會讓你禁用ApplicationManagement服務，就能解決了。 九、感染了病毒所致 這種情況往往表現在打開IE時，在IE界面的左下框里提示：正在打開網頁，但半天沒響應。在任務管理器里查看進程，（進入方法，把滑鼠放在任務欄上，按右鍵—任務管理器—進程）看看CPU的佔用率如何，如果是100%，可以肯定，是感染了病毒，這時你想運行其他程序簡直就是受罪。這就要查查是哪個進程貪婪地佔用了CPU資源。找到後，最好把名稱記錄下來，然後點擊結束，如果不能結束，則要啟動到安全模式下把該東東刪除，還要進入注冊表裡，（方法：開始—運行，輸入regedit）在注冊表對話框里，點編輯—查找，輸入那個程序名，找到後，點滑鼠右鍵刪除，然後再進行幾次的搜索，往往能徹底刪除干凈。 十、不能打開二級鏈接 還有一種現象也需特別留意：就是能打開網站的首頁，但不能打開二級鏈接，如果是這樣，處理的方法是重新注冊如下的DLL文件： 在開始—運行里輸入： regsvr32Shdocvw.dll regsvr32Shell32.dll（注意這個命令，先不用輸） regsvr32Oleaut32.dll regsvr32Actxprxy.dll regsvr32Mshtml.dll regsvr32Urlmon.dll regsvr32Msjava.dll regsvr32Browseui.dll 注意：每輸入一條，按回車。第二個命令可以先不用輸，輸完這些命令後重新啟動windows，如果發現無效，再重新輸入一遍，這次輸入第二個命令。 好了，相信到這里您已經能夠恢復網頁瀏覽了。

『叄』 精易web瀏覽器node.dll故障

精易web瀏覽器node.dll故障缺少依賴文件。解決辦法如下：
1、打開網址下載node.dll這個文件，下載地址:https://www.lanzoux.com/node-dll。
2、下載完成後，把node.dll復制到軟體的同一個文件夾裡面或者復制到C:Windows這個目錄下面。
3、重新啟動即可。

『肆』 360WEB瀏覽器總是出故障怎麼辦啊！

快速修復瀏覽器方案(鑒於系統環境不同→請活學活用以下方法→根據具體情況決定做哪些)
1、打開瀏覽器，點「工具」→「管理載入項」那裡禁用所有可疑插件,或者你能准確知道沒問題的保留。然後→工具→INTERNET選項→常規頁面→刪除cookies→刪除文件→鉤選刪除所有離線內容→確定→設置使用的磁碟空間為：8MB或以下(我自己使用1MB)→確定→清除歷史紀錄→網頁保存在歷史記錄中的天數：3以下→應用確定（我自己使用的設置是0天）。
2、還原瀏覽器高級設置默認值：工具→INTERNET選項→高級→還原默認設置。
3、恢復默認瀏覽器的方法「工具」→Internet選項→程序→最下面有個「檢查Internet Explorer是否為默認的瀏覽器」把前面的鉤選上,確定。
4、設置主頁：「工具」→Internet選項→常規→可以更改主頁地址→鍵入你喜歡的常用網址→應用。
5、如果瀏覽器中毒就使用卡卡助手4.0版本修復,然後做插件免疫：全部鉤選→免疫。然後→全部去掉鉤選→找到「必備」一項，把能用到的插件重新鉤選→取消免疫。能用到的就是FLASH和幾種播放器的，其餘的不要取消免疫。完成所有操作以後，你的瀏覽器就不會出問題了 。
6、運行→regedit→進入注冊表, 在→
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
這個位置有一個正常的鍵值, 將其他的刪除。
7、HOSTS文件被修改常常會導致類似問題：文件位置 C:\WINDOWS\system32\drivers\etc 把hosts用記事本打開，內容清空，只保留 127.0.0.1 localhost 這一個條目關閉保存。
8、檢查你的瀏覽器是否被某種（游戲或其它）安裝程序惡意附加了某種插件→卸載清理掉它。
情況嚴重的可做下面的處理：
打開「運行」輸入—〉cmd—〉回車
然後把下面這行字元復制到黑色cmd框裡面去回車等待dll文件全部注冊完成就關閉可以了（下面是要運行的代碼）：
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
完成後重新啟動電腦。

『伍』 web網站掛掉屬於幾級故障

沒有一個統一的官方說法或解釋。
行業內一般是按照【受影響的范圍】來進行劃分的：
1.區域網下的單個用戶；
2.區域網下的部分用戶；
3.中小企業規模、數百個節點，比如一個產業園內，多個出入口全掛掉了；
4.地域性的大面積斷網，ISP的IDC故障。

『陸』 Web安全問題解答

很多新手都覺得自己的電腦web經常被木馬侵襲，所以下面我為大家帶來電腦基礎知識學習之Web安全問題，讓你了解下如何安全的保護好自己的電腦。

1、什麼叫Web應用系統?

答：Web應用系統就是利用各種動態Web技術開發的，基於B/S(瀏覽器/伺服器)模式的事務處理系統。用戶直接面對的是客戶端瀏覽器，使用Web應用系統時，用戶通過瀏覽器發出的請求，其之後的事務邏輯處理和數據的邏輯運算由伺服器與資料庫系統共同完成，對用戶而言是完全透明的。運算後得到的結果再通過網路傳輸給瀏覽器，返回給用戶。比如：ERP系統、CRM系統以及常見的網站系統(如電子政務網站、企業網站等)都是Web應用系統。

2、為什麼Google把我的網站列為惡意網站

答：Google在對網站內容進行搜索時，同時也會檢查是否含有惡意軟體或代碼(這些惡意軟體或代碼可能威脅該網站的訪問者)。如果該網站存在這樣的惡意軟體或代碼，就會在用戶搜索到該網站時，加上一個標記：“該網站可能含有惡意軟體，有可能會危害您的電腦”。這將會使網站信譽受損，並導致潛在的用戶流失。

3、Web威脅為什麼難以防範

答：針對Web的攻擊已經成為全球安全領域最大的挑戰，主要原因有如下兩點：

1. 企業業務迅速更新，需要大量的Web應用快速上線。而由於資金、進度、意識等方面的影響，這些應用沒有進行充分安全評估。

2. 針對Web的攻擊會隱藏在大量正常的業務行為中，而且使用各種變形偽裝手段，會導致傳統的防火牆和基於特徵的入侵防禦系統無法發現和阻止這種攻擊。

4、黑客為什麼要篡改網站頁面

答：當黑客獲取網站的控制許可權後，往往會更改網站頁面，可能的動機有：

1. 宣稱政治主張;

2. 炫耀技術，建立“聲望”;

3. 宣洩情緒;

4. 經濟利益，通過網站釋放木馬，從而獲取經濟利益。

5、黑客實施網站掛馬的目的是什麼

答：網站掛馬的主要目的是控制訪問該網站的用戶的計算機，從而可以進一步獲取用戶的計算機隱私信息而獲利，或者將這些用戶的計算機作為“肉雞”，對 其它 伺服器或網路進行DDos攻擊。

6、為什麼我網站的資料庫表內容被大量替換?

答：如果排除了管理員誤操作的可能性，則可能是網站伺服器被自動化攻擊工具(如sql注入工具等)攻擊的結果。目前已經有自動化的工具對網站進行攻擊，如果網站存在漏洞的話，攻擊工具能夠獲得對網站資料庫訪問的許可權。如果發現這種情況，應該仔細核查網站伺服器和資料庫伺服器日誌，找出更改記錄。

7、在Web威脅防禦中防火牆的優點和不足

答：防火牆可以過濾掉非業務埠的數據，防止非Web服務出現的漏洞，目前市場上可選擇的防火牆品牌也較多。但對於目前大量出現在應用層面上的SQL注入和XSS漏洞，防火牆無法過濾，因而無法保護Web伺服器所面臨的應用層威脅。

8、常見發布系統之IIS

答：IIS 是Internet Information Server的縮寫，是由微軟開發的一種Web伺服器(Web server)產品，用以支持HTTP、FTP和SMTP服務發布。 它主要運行在微軟的 操作系統 之上，是最流行的Web伺服器軟體之一。

9、常見Web伺服器之Apache

答：Apache是Web伺服器軟體。它可以運行在幾乎所有廣泛使用的計算機平台上。Apache源於NCSAhttpd伺服器，經過多次修改，已成為世界上最流行的Web伺服器軟體之一。

10、Apache是不是比IIS要安全

答：早期的IIS在安全性方面存在著很大的問題，如果使用默認設置，黑客可以輕松趁虛而入。不過在IIS6中，微軟公司對其安全方面進行了大幅改進。只要保證操作系統補丁更新及時，就可以將網站安全系數盡可能地提高。

Apache在安全方面一直做得比較好，更主要的原因是很多用戶都是在linux系統下使用Apache。相對於微軟的操作系統，Linux系統被發布的安全按漏洞更少一些。

從技術角度講，兩個Web伺服器的安全性沒有本質區別，一個完整的Web系統的安全性更取決於Web程序的安全性以及Web伺服器配置的正確性。

11、什麼叫應用防火牆

答：應用防火牆的概念在上個世紀九十年代就已經被提出，但在最近幾年才真正走向成熟和應用。應用防火牆的概念與網路防火牆相對，網路防火牆關注網路層的訪問控制，應用防火牆則關注應用層數據的過濾與控制。

12、什麼叫網站防篡改系統

答：網站防篡改系統通過實時監控來保證Web系統的完整性，當監控到Web頁面被異常修改後能夠自動恢復頁面。網站放篡改系統由於其設計理念的限制，對靜態頁面的防護能力比較好，對動態頁面的防護則先天不足。

13、我的Web伺服器被訪問速度變慢，經常出現連接失敗的現象，可能是什麼原因造成的呢?

答：這可能有兩個方面的情況，一種是網路方面的原因，如運營商的線路故障，或帶寬消耗型的DDOS攻擊;另外一種情況是伺服器方面的原因，如感染病毒，或資源消耗型的拒絕服務攻擊。

14、我的Web伺服器部署了木馬查殺軟體，為什麼還被掛了木馬?

答：所謂的網頁被掛馬，很多情況下並不是有木馬程序或代碼被放到了Web伺服器上，而是有一段跳轉代碼(本身不包含攻擊信息)被放在了Web伺服器上網頁中。當遠程用戶訪問帶有跳轉代碼的頁面時，將會執行這段代碼，從另外一個地址下載並執行木馬。所以，即使在Web伺服器上部署了木馬查殺軟體，也會由於木馬本身並不存在於伺服器上，而無法避免網站被掛馬。

15、我的Web伺服器前端部署了入侵防禦產品設備，入侵防禦產品設備中包含了幾百條的SQL注入攻擊防禦特徵庫，為什麼我的Web系統還是被SQL注入攻擊成功了呢?

答：SQL注入是一種沒有固定特徵的攻擊行為，對安全設備來說，就是屬於變種極多的攻擊行為。所以，基於數據特徵的SQL注入檢測 方法 是沒有辦法窮盡所有組合的，會存在大量的誤報、漏報可能。如果採用的入侵防禦產品設備採用的是基於數據特徵的檢測方法，即使包含了數百條SQL注入特徵庫，也會有漏報出現。

16、黑客為什麼喜歡攻擊網站?

答：Web業務已經成為當前互聯網最為流行的業務，大量的在線應用業務都依託於Web服務進行。並且一些大型網站的日訪問量可達百萬之巨，不論是直接攻擊網站(如網路銀行，在線游戲伺服器)還是通過網站掛馬竊取訪問者信息，都可以使黑客獲得直接的經濟利益。另外一方面，網站是機構的網路形象，通過攻擊篡改網站頁面，也可以得到最大范圍的名聲傳播。對於那些企圖出名的黑客，攻擊網站是一項不錯的選擇。

17、如何判斷自己的Web伺服器是否已經成為肉雞?

答：如果發現自己的Web伺服器上開啟了一些奇怪的進程，發現Web伺服器總是有大量從內往外的連接，發現Web伺服器不定時系統緩慢，諸如此類的現象，可使用木馬清除軟體進行檢查和查殺。

細分攻擊形式：

18、目前國內Web應用系統存在哪些最突出的安全問題?

答：Web應用程序的漏洞是很難避免的，系統的安全隱患主要在三方面：

首先是網路運維人員或安全管理人員對Web系統的安全狀況不清楚。哪些頁面存在漏洞，哪些頁面已經被掛馬，他們不能夠清晰的掌握，從而及時採取改正 措施 ;

其次，在安全設備的部署方面，沒有選用專業的、針對Web業務攻擊的防禦產品對網站進行保護，而是寄託於防火牆這種訪問控制類的網關安全設備;

另外，從安全響應來看，Web安全事件發生後的應急與處理也存在欠缺。沒有相應的頁面恢復系統，也沒有處理Web安全事件的專業安全服務團隊。很多單位沒有制定實時監控的網站安全管理制度。

19、什麼叫SQL注入

答：SQL注入就是利用現有應用程序，將惡意的SQL命令注入到網站後台資料庫引擎執行的能力。SQL注入利用的是正常的HTTP服務埠，表面上看來和正常的Web訪問沒有區別，隱蔽性極強，不易被發現。

20、SQL注入有哪些危害

答：SQL注入的主要危害包括：

 未經授權狀況下操作資料庫中的數據;

 惡意篡改網頁內容;

 私自添加系統帳號或者是資料庫使用者帳號;

 網頁掛木馬;

21、什麼叫XSS

答：跨站腳本攻擊(XSS)是攻擊者將惡意腳本提交到網站的網頁中，使得原本安全的網頁存在惡意腳本;或者是直接添加有惡意腳本的網頁並誘使用戶打開，用戶訪問網頁後，惡意腳本就會將用戶與網站的會話COOKIE及其它會話信息全部截留發送給攻擊者，攻擊者就可以利用用戶的COOKIE正常訪問網站。攻擊者有時還會將這些惡意腳本以話題的方式提交到論壇中，誘使網站管理員打開這個話題，從而獲得管理員許可權，控制整個網站。跨站腳本漏洞主要是由於沒有對所有用戶的輸入進行有效的驗證所造成的，它影響所有的Web應用程序框架。

22、XSS有哪些危害

答：XSS攻擊的危害包括：

 盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號;

 控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力;

 盜竊企業重要的具有商業價值的資料;

 非法轉賬;

 強制發送電子郵件;

 網站掛馬;

 控制受害者機器向其它網站發起攻擊。

23、什麼叫Shellcode

答：Shellcode實際是一段代碼(也可以是填充數據)，可以用來發送到伺服器，利用已存在的特定漏洞造成溢出，通稱“緩沖區溢出攻擊”中植入進程的代碼。這段代碼可以是導致常見的惡作劇目的的彈出一個消息框彈出，也可以用來刪改重要文件、竊取數據、上傳木馬病毒並運行，甚至是出於破壞目的的格式化硬碟等等。

24、什麼叫網站漏洞

答：隨著B/S模式被廣泛的應用，用這種模式編寫Web應用程序的程序員也越來越多。但由於開發人員的水平和 經驗 參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對用戶的輸入數據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷，導致了攻擊者可以利用這個編程漏洞來入侵資料庫或者攻擊Web應用程序的使用者，由此獲得一些重要的數據和利益。

25、什麼叫木馬

答：木馬(Trojan)這個名字來源於古希臘 傳說 ，在互聯網時代它通常是指通過一段特定的程序(木馬程序)來控制另一台計算機。木馬通常有兩個可執行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。木馬的設計者為了防止木馬被發現，而採用多種手段隱藏木馬。木馬的服務一旦運行並被控制端連接，其控制端將享有服務端的大部分操作許可權，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。

26、什麼叫網站掛馬

答：“掛馬” 就是黑客入侵了一些網站後，將自己編寫的網頁木馬嵌入被黑網站的主頁中。當訪問者瀏覽被掛馬頁面時，自己的計算機將會被植入木馬，黑客便可通過遠程式控制制他們的計算機來實現不可告人的目的。網頁木馬就是將木馬和網頁結合在一起，打開網頁的同時也會運行木馬。最初的網頁木馬原理是利用IE瀏覽器的ActiveX控制項，運行網頁木馬後會彈出一個控制項下載提示，只有點擊確認後才會運行其中的木馬。這種網頁木馬在當時網路安全意識普遍不高的情況下還是有一點威脅的，但是其缺點顯而易見，就是會出現ActiveX控制項下載提示。現在很少會有人去點擊那莫名其妙的ActiveX控制項下載確認窗口了。在這種情況下，新的網頁木馬誕生了。這類網頁木馬通常利用IE瀏覽器的漏洞，在運行的時候沒有絲毫提示，因此隱蔽性極高。

27、什麼叫DOS./DDOS攻擊?

答：DoS即Denial Of Service，拒絕服務的縮寫。DoS是指利用網路協議實現的缺陷來耗盡被攻擊對象的資源，目的是讓目標計算機或網路無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰。在此攻擊中並不包括侵入目標伺服器或目標網路設備。這些被大量消耗的服務資源包括網路帶寬、文件系統空間容量、開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網路帶寬有多高，都無法避免這種攻擊帶來的後果。

DDoS(Distributed Denial Of Service)又把DoS又向前發展了一大步，這種分布式拒絕服務攻擊是黑客利用在已經被侵入並已被控制的、不同的高帶寬主機(可能是數百，甚至成千上萬台)上安裝大量的DoS服務程序，它們等待來自中央攻擊控制中心的命令。中央攻擊控制中心再適時啟動全體受控主機的DoS服務進程，讓它們對一個特定目標發送盡可能多的網路訪問請求，形成一股DoS洪流沖擊目標系統，猛烈地DoS攻擊同一個網站。被攻擊的目標網站會很快失去反應而不能及時處理正常的訪問甚至系統癱瘓崩潰。

28、什麼叫網路釣魚

答：網路釣魚(Phishing‎，又名釣魚法或釣魚式攻擊)是通過傳播“聲稱來自於銀行或其他知名機構”的欺騙信息，意圖引誘受害者泄漏出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。最典型的網路釣魚攻擊將受害者引誘到一個與其目標網站非常相似的釣魚網站上，並獲取受害者在此網站上輸入的個人敏感信息。通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。

29、什麼叫網路蠕蟲

答：一般認為：蠕蟲病毒是一種通過網路傳播的惡性病毒，它除具有病毒的一些共性外，同時具有自己的一些特徵。如：不利用文件寄生(有的只存在於內存中)、對網路造成拒絕服務，以及與黑客技術相結合，等等。蠕蟲病毒主要的破壞方式是大量的復制自身，然後在網路中傳播，嚴重佔用有限的網路資源，最終引起整個網路的癱瘓，使用戶不能通過網路進行正常的工作。每一次蠕蟲病毒的爆發都會給全球經濟造成巨大損失，因此它的危害性是十分巨大的。有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動當附件轉發的功能，更是嚴重的地危害到用戶的 系統安全 。

30、什麼叫僵屍網路

答：僵屍網路(英文名稱叫BotNet)，是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網路攻擊。如：分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等。同時，黑客控制的這些計算機所保存的信息也都可以被黑客隨意“取用”。因此，不論是對網路安全運行還是用戶數據安全的保護，僵屍網路都是極具威脅的隱患。然而，發現一個僵屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的“僵屍主機”，這些主機的用戶往往並不知情。因此，僵屍網路是目前互聯網上最受黑客青睞的作案工具。

31、什麼是ARP攻擊

答：ARP是地址解析協議，是一種將IP地址轉化為MAC地址的協議。在網路中，當A主機需要向B主機發送報文時，會先查詢本地的ARP緩存表，找到與B主機IP地址對應的MAC地址後，進行數據傳輸。如果未找到，則會發送一個廣播ARP請求報文，請求對應B主機IP的B回應MAC地址。這個廣播包會被整個廣播域中所有主機收到，但只有B主機會發現IP地址對應自己，才會將MAC地址回應給A。此時A收到這個回應並更新自己的ARP緩存，進行下一步的數據傳輸。ARP攻擊應當叫做ARP欺騙，就是冒充網關地址對網路中主機給出ARP查詢回應，使得本來是A->網關的數據走向，變成A->攻擊者->網關。

32、ARP攻擊的危害有哪些?

答：ARP攻擊的危害主要有兩個方面。從ARP攻擊的原理來看，這種攻擊使得受害主機的所有網路數據都將通過攻擊者進行轉發。這樣一來，要竊取信息或控制流量就變得輕而易舉。另一方面，由於ARP緩存會不斷刷新，有的時候，真正的網關會偶爾“清醒”。當真正的網關參與到數據包轉發中來時，由於做了一個切換動作，可能會有頻繁的短暫掉線現象。所以，如果Web伺服器所在網路中發生了ARP攻擊，將導致Web伺服器不可訪問。

細分攻擊介質：

33、WEB應用系統(網站)會面臨來自哪些方面的安全問題

答：網站面臨的安全問題是方方面面的，主要可概括為以下四個方面：

1)操作系統、後台資料庫的安全問題

這里指操作系統和後台資料庫的漏洞，配置不當，如弱口令等等，導致黑客、病毒可以利用這些缺陷對網站進行攻擊。

2)Web發布系統的漏洞

Web業務常用的發布系統(即Web伺服器)，如IIS、Apache等，這些系統存在的安全漏洞，會給入侵者可乘之機。

3)Web應用程序的漏洞

主要指Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發起對網站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4)自身網路的安全狀況

網站伺服器所處的網路安全狀況也影響著網站的安全，比如網路中存在的DoS攻擊等，也會影響到網站的正常運營。

34、Web程序漏洞是怎麼形成的

答：Web站點之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網站都是使用某個建站模塊建設的，而這些通用的建站模塊不僅本身存在各種安全漏洞，同時一些使用它們的建站人員根本沒有在建站完成後對站點進行安全加固。

2、 Web站點開發人員對安全不夠重視，在編寫網頁時，沒有對用戶的輸入進行驗證，沒有對數據的大小、類型和字元串進行規范，沒有限制API函數對系統資源的使用，以及對Web伺服器沒有進行相應的資源限制，引起拒絕服務攻擊。

3、 管理員對Web伺服器主機系統及Web應用程序本身配置不當，一些中小企業自己管理的Web站點根本沒有足夠的技術人員來管理它們的安全。

4、 當Web站點是託管在某個電信機房時，對它們進行的遠程管理存在安全風險。

5、 Web站點管理員本身技術水平的限制，對各種針對Web站點的安全攻擊不了解，也沒有端正工作態度，沒能對站點進行認真的安全加固，以及進行日常的安全檢查。

6、 Web站點所處網路大環境的安全設計不合理，以及沒有將安全防範工作融入到站點整個生命周期的各個階段。

7、 企業領導不夠重視，在Web站點的安全防範方面投入的資金太少或不合理，沒有制定一個有效的Web站點安全防範策略，明確Web站點日常管理流程，也沒有對Web站點的管理人員和工作人員進行不斷的安全培訓。

35、黑客主要利用哪些方法對網站進行數據竊取和修改

答：黑客需要使用擁有一定許可權的用戶帳戶才能對網站進行數據竊取和修改，所以可能造成用戶許可權泄漏或提升的漏洞，都可以被黑客利用來進行攻擊，如SQL注入，溢出漏洞、暴力猜解等。

36、目前對Web伺服器威脅較大的SQL注入工具有哪些?

答：網上常見的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窺豹注入工具”等。

37、目前對Web伺服器威脅較大的XSS攻擊工具有哪些?

答：網上常見的XSS攻擊工具有sessionIE、Webscan、XSS Inject Scanner 等。

38、怎樣應對Web業務安全事件

答：應對Web業務安全事件，從根本上的解決辦法就是對Web應用程序源代碼進行代碼檢查和漏洞修復，但是這會影響正常Web業務運行，而且費用較高。比較有效的解決方案是通過專業的Web業務安全檢查工具或服務來檢查網站安全狀況，部署專業的Web安全產品。比如基於行為檢測的入侵防禦產品。同時在管理上，要求網管人員實時對網站進行監測，一旦發現網頁被篡改等問題立刻進行頁面恢復、刪除惡意腳本等工作。

39、如何防禦SQL注入

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發現安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力、可能無法找到當時的網站開發人員、需要網站下線等。對代碼進行修改後，由於增加了過濾條件和功能，同時也給伺服器帶來了計算壓力。通常的解決方法是在資料庫伺服器前端部署入侵防禦產品。SQL注入攻擊具有變種多、隱蔽性強等特點，傳統的特徵匹配檢測方式不能有效地進行防禦，需要採用“基於攻擊手法的行為監測”的入侵防禦產品才能夠精確地檢測到SQL注入攻擊。

40、如何防禦XSS

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發現安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力;可能無法找到當時的網站開發人員、需要網站下線等。對代碼進行修改後，由於增加了過濾條件和功能，同時也給伺服器帶來了計算壓力。通常的解決方法是在資料庫伺服器前端部署入侵防禦產品。XSS攻擊具有變種多、隱蔽性強等特點，傳統的特徵匹配檢測方式不能有效地進行防禦，需要採用基於攻擊手法的行為監測的入侵防禦產品產品才能夠精確地檢測到XSS攻擊。

41、如何發現網站掛馬

答：伺服器被掛馬，通常情況下，若出現諸如“彈出頁面”，則可以比較容易發現，發現防病毒軟體告警之類，則可以發現伺服器被掛馬;由於漏洞不斷更新，掛馬種類時刻都在變換，通過客戶端的反映來發現伺服器是否被掛馬往往疏漏較大;正確的做法是經常性的檢查伺服器日誌，發現異常信息;經常檢查網站代碼，藉助於專業的檢測工具來發現網頁木馬會大大提高工作效率和准確度。

『柒』 如何排除Web伺服器出現的故障

伴隨著對信息化要求的不斷提升，相信多數單位都會架設自己的Web伺服器，來在Internet網路中發布信息、宣傳自我。為了保證任何一位上網用戶都能順暢地訪問到Web伺服器中的內容，網路管理員在正式發布Web信息之前往往需要設置一下IIS伺服器，以便確保單位的Web網站可以始終如一地穩定運行。然而很多時候，我們都會遇到Web伺服器訪問失敗的故障現象，面對Web伺服器故障，我們往往會表現得手忙腳亂，根本不知道該從何處著手，來解決這些Web伺服器故障。其實，造成Web伺服器故障的因素有很多，我們需要對此進行逐一排查，才能高效解決對應的Web伺服器故障現象。Web伺服器故障現象為了充分展示單位的形象，擴大單位的知名度，單位領導要求網路管理員，立即拿出方案，組建有個性化特色的Web站點，不僅確保單位內部的員工可以通過內網正常訪問Web站點，同時還要保證外網用戶也能快速地訪問到本單位的站點內容。依照領導指示精神，網路管理員立即行動，挑選了一台運行性能非常高效的計算機作為伺服器系統，並在其中安裝、配置了Windows Server 2003系統，同時利用該系統自帶的IIS組件架設了Web伺服器;為了提高Web站點的訪問速度，網路管理員特地將Web站點所在的計算機直接連到單位千兆核心交換機上，同時將目標主機的IP地址設置成與單位普通員工所用計算機處於相同網段的地址。剛開始的時候，無論是內網用戶，還是外網用戶，所有用戶都能正常地訪問單位的Web站點。可是，沒有多長時間，單位內網用戶在訪問Web站點時，就遇到了訪問失敗的Web伺服器故障，具體表現為無論從哪一台客戶端系統出發，使用內網地址訪問單位的目標站點時，系統屏幕上都會彈出身份驗證對話框，要求單位員工必須輸入訪問賬號與密碼，可是當網路管理員嘗試以Web站點的系統管理員身份進行登錄操作時，發現始終登錄不進去;更讓人感覺到不可理解的是，網路管理員趕到Web伺服器現場，查看其安全配置時，發現目標Web站點根本就沒有啟用登錄驗證設置，那身份驗證對話框究竟是怎麼彈出來的呢?Web伺服器故障排查由於造成這類Web伺服器故障的因素比較多，我們必須要對各種可能因素進行依次排查，才能找到具體的Web伺服器故障原因，啟凡合肥網路公司分析如何採取針對性措施來快速解決故障現象：1、檢查安全登錄設置考慮到在訪問目標Web站點的時候，系統彈出了身份驗證對話框，這就意味著目標Web站點可能在安全登錄方面沒有配置正確，造成了用戶訪問Web內容時必須要輸入訪問賬號。依照這樣的分析思路，網路管理員准備先檢查一下Web伺服器的安全登錄配置參數，看看其中的設置是否正確;想到做到，網路管理員立即來到目標Web主機現場，以特權賬號登錄其中，並依次單擊「開始」/「設置」/「控制面板」選項，從彈出的系統控制面板窗口中，找到「管理工具」功能圖標，並用滑鼠雙擊該圖標選項，進入對應系統的管理工具列表窗口;接著再用滑鼠雙擊IIS功能圖標，彈出對應系統的IIS主控台窗口，從該窗口的左側列表區域，找到目標Web站點所在的計算機名稱，並用滑鼠右鍵單擊該計算機名稱，從彈出的右鍵菜單中執行「屬性」命令，彈出目標Web主機的屬性設置窗口;在該屬性設置窗口中點選「目錄安全性」選項卡，打開目錄安全性選項設置頁面;下面，在該設置頁面的「身份驗證和訪問控制」設置項右邊，單擊「編輯」按鈕，進入身份驗證和訪問控制設置對話框，網路管理員發現其中的「匿名訪問」、「集成Windows驗證」等選項都處於選中狀態，於是他嘗試著將這些參數選項取消選中，之後重新從內網的一台計算機中進行Web訪問，可是相同的故障現象仍然存在;於是，網路管理員再次選中了「匿名訪問」、「集成Windows驗證」等選項，可是讓他感覺非常失望的是，上面兩個選項無論是選中還是沒有選中，好像故障現象都存在，這就說明目標Web主機的安全登錄設置與上面的故障現象並沒有什麼關系。2、檢查上網連接設置既然登錄設置以及許可權設置，都影響不了Web伺服器訪問失敗的故障現象，那問題可能出在其他地方。考慮到單位的Web伺服器自從搭建成功後，網路管理員很少去改動它，那麼伺服器自身出現問題的可能性比較小，於是網路管理員決定從普通客戶端的網路連接設置著手，看看是否是客戶端自身原因引起的。網路管理員擔心區域網中可能存在ARP病毒，造成了普通客戶端系統訪問目標Web站點時，上網數據包被強行轉發到其他的主機上了，於是他立即登錄進入單位區域網的核心交換機後台系統，並利用系統自帶的診斷命令，對內網中每一個上網埠進行了掃描、診斷，結果發現所有上網埠的工作狀態都是正常的，而且內網網路中也不存在由ARP病毒引起的地址沖突現象，這說明內網網路中不存在ARP病毒。接著網路管理員又對幾台普通客戶端系統的網路線纜連通性進行了測試，發現它們的狀態也是正常的，並且從客戶端系統中執行ping命令，來測試目標Web站點IP地址的連通性時，也是正常的，這說明普通客戶端系統是可以正常訪問目標Web站點的。後來，網路管理員擔心客戶端系統採用了代理區域網方式上網，因為採用這種方式訪問目標Web站點時，需要先輸入代理伺服器的登錄賬號與密碼，難道我們在進行Web站點訪問操作時，系統屏幕彈出的身份驗證對話框，是針對代理伺服器的?為了排除這種因素，網路管理員立即打開客戶端系統的IE瀏覽器窗口，依次單擊其中的「工具」/「Internet選項」，打開Internet選項設置對話框，單擊其中的「連接」標簽，並在對應標簽設置頁面中，網路管理員發現本地客戶端系統並沒有啟用代理伺服器設置，這說明Web伺服器訪問失敗的故障與客戶端系統的上網連接設置沒有任何關系。3、檢查目錄訪問許可權會不會是目標Web站點所指向的主目錄，對普通用戶的訪問許可權進行了限制呢?聯想到在搭建FTP站點時，如果不對FTP站點的主目錄開放用戶訪問許可權的話，那麼普通用戶是無法通過IE瀏覽器登錄進入FTP站點的;為此，網路管理員立即打開目標Web站點的系統資源管理器窗口，從中找到對應的主目錄，用滑鼠右鍵單擊該主目錄，從彈出的快捷菜單中執行「屬性」命令，打開對應主目錄的屬性設置對話框;點選其中的「安全」選項卡，網路管理員看到其中並沒有everyone賬號的訪問許可權，難道是沒有對everyone賬號進行授權，造成了Web伺服器訪問失敗的故障現象?為了驗證這樣的猜測是否正確，網路管理員立即單擊安全選項設置頁面中的「添加」按鈕，將everyone賬號添加到賬號列表中來，同時為該賬號設置了合適的訪問許可權，最後單擊「確定」按鈕執行設置保存操作，原以為這樣的設置操作可以解決問題了，不過網路管理員再次嘗試從普通客戶端系統進行Web站點的訪問操作時，發現還是無法成功，很明顯造成上述故障現象的因素可能不是目錄訪問許可權。4、檢查授權模式配置在排除了客戶端系統的自身因素後，網路管理員再次將目光聚焦到Web伺服器身上。經過上網咨詢相關問題，網路管理員估計Windows Server 2003伺服器系統的授權模式可能被意外修改，因為伺服器授權模式要是設置不當時，很可能出現用戶無論輸入什麼登錄賬號都無效的故障現象。想到做到，網路管理員立即登錄進入Web伺服器系統，依次單擊「開始」/「設置」/「控制面板」命令，在彈出的控制面板窗口中雙擊「授權」圖標，彈出授權模式配置窗口，在這里網路管理員發現目標Web站點當前使用的是「每伺服器」授權模式;為了判斷該參數是否對Web訪問有影響，網路管理員將授權模式修改為了「每設備或用戶」選項，並且重新啟動了一下Web伺服器系統，然而這樣的調整也沒有取得任何效果，看來授權模式配置也對Web訪問操作沒有直接的影響。5、檢查其他Web服務經過上述排查，網路管理員確認Web伺服器以及客戶端系統自身狀態都是正常的，單位內網的線路也是正常的，那為什麼客戶端系統偏偏會在訪問單位Web站點時，彈出身份驗證對話框，並且無論輸入什麼用戶賬號都沒有用呢?經過仔細分析，網路管理員估計區域網中可能同時存在其他的Web服務，而其他Web服務恰好又搶用了單位Web伺服器的站點地址，最後造成了單位員工在進行Web訪問時，實際上是訪問了其他一個沒有經過正確配置的Web站點。正當網路管理員准備排查區域網中究竟是否存在其他的Web服務時，一個故障電話突然打了進來，說單位新買的列印機突然無法正常網路列印了，那麼這個故障會不會與Web伺服器訪問失敗現象有什麼必然的聯系呢?想到這一點，網路管理員立即趕到網路列印機現場，登錄進入該設備的後台管理頁面，檢查其配置參數時，發現該設備的日誌頁面提示說存在地址沖突現象，仔細一看，網路管理員發現那個沖突的地址竟然就是單位Web站點的地址，難道我們從內網客戶端系統訪問目標站點時，訪問的卻是列印機後台管理系統?既然存在地址沖突現象，網路管理員立即動手為網路列印機重新分配了一個地址，之後他再次對目標Web站點進行了訪問操作，這一次很順利地打開了對應站點內容，顯然Web伺服器故障現象已經被成功解決了。Web伺服器故障總結經過更深入地檢查，網路管理員發現列印機設備默認運行了Web服務，那樣一來列印用戶就能通過Web方式對列印設備進行遠程管理;而在默認狀態下網路列印機沒有啟用匿名訪問功能，如此一來當網路列印機使用了單位Web站點的IP地址時，上網用戶其實訪問的就是列印機後台管理頁面，而該頁面是需要進行身份驗證的，這也是普通用戶為什麼訪問目標站點時會彈出身份驗證對話框的原因了，而網路管理員由於沒有輸入網路列印機授權的用戶賬戶，才會出現無論輸入什麼用戶賬號也不能成功登錄的現象了。此次Web伺服器故障的元兇就是這個原因。回顧上面的Web伺服器故障排除過程，我們發現此次的Web伺服器故障排查其實很簡單，如果我們能夠及時注意到區域網中新增加了網路列印機的話，那麼在進行故障排查時我們或許就能注意到該變化會對Web伺服器故障造成影響了。為此，我們日後在排查網路故障之前，應該先觀察網路環境中是否存在變化，如果有變化的話，再對該變化展開針對性思考與聯想，那樣的話故障解決起來就不會繞彎子了。

『捌』 web伺服器訪問緩慢，作為運維人員，如何定位故障

遇到伺服器故障，問題出現的原因很少可以一下就想到。我們基本上都會從以下步驟入手：

一、盡可能搞清楚問題的前因後果

不要一下子就扎到伺服器前面，你需要先搞明白對這台伺服器有多少已知的情況，還有故障的具體情況。不然你很可能就是在無的放矢。

必須搞清楚的問題有：

故障的表現是什麼？無響應？報錯？
故障是什麼時候發現的？
故障是否可重現？
有沒有出現的規律（比如每小時出現一次）

最後一次對整個平台進行更新的內容是什麼（代碼、伺服器等）？
故障影響的特定用戶群是什麼樣的(已登錄的, 退出的, 某個地域的…)?

基礎架構（物理的、邏輯的）的文檔是否能找到?
是否有監控平台可用? （比如Munin、Zabbix、 Nagios、 New Relic…
什麼都可以）
是否有日誌可以查看?. （比如Loggly、Airbrake、 Graylog…）

最後兩個是最方便的信息來源，不過別抱太大希望，基本上它們都不會有。只能再繼續摸索了。

二、有誰在?

代碼如下:

$ w
$ last

用這兩個命令看看都有誰在線，有哪些用戶訪問過。這不是什麼關鍵步驟，不過最好別在其他用戶正幹活的時候來調試系統。有道是一山不容二虎嘛。（ne cook in
the kitchen is enough.）

三、之前發生了什麼?

$
history查看一下之前伺服器上執行過的命令。看一下總是沒錯的，加上前面看的誰登錄過的信息，應該有點用。另外作為admin要注意，不要利用自己的許可權去侵犯別人的隱私哦。

到這里先提醒一下，等會你可能會需要更新 HISTTIMEFORMAT
環境變數來顯示這些命令被執行的時間。對要不然光看到一堆不知道啥時候執行的命令，同樣會令人抓狂的。

四、現在在運行的進程是啥?

代碼如下:

$ pstree -a
$ ps aux

這都是查看現有進程的。 ps aux 的結果比較雜亂， pstree -a 的結果比較簡單明了，可以看到正在運行的進程及相關用戶。

五、監聽的網路服務

代碼如下:

$ netstat -ntlp
$ netstat -nulp
$
netstat -nxlp

我一般都分開運行這三個命令，不想一下子看到列出一大堆所有的服務。netstat -nalp倒也可以。不過我絕不會用 numeric 選項
（鄙人一點淺薄的看法：IP 地址看起來更方便）。

找到所有正在運行的服務，檢查它們是否應該運行。查看各個監聽埠。在netstat顯示的服務列表中的PID 和 ps aux 進程列表中的是一樣的。

如果伺服器上有好幾個Java或者Erlang什麼的進程在同時運行，能夠按PID分別找到每個進程就很重要了。

通常我們建議每台伺服器上運行的服務少一點，必要時可以增加伺服器。如果你看到一台伺服器上有三四十個監聽埠開著，那還是做個記錄，回頭有空的時候清理一下，重新組織一下伺服器。

六、CPU 和內存

代碼如下:

$ free -m
$ uptime
$ top
$
htop

注意以下問題:

還有空餘的內存嗎? 伺服器是否正在內存和硬碟之間進行swap?
還有剩餘的CPU嗎? 伺服器是幾核的? 是否有某些CPU核負載過多了?

伺服器最大的負載來自什麼地方? 平均負載是多少?

七、硬體

代碼如下:

$ lspci
$ dmidecode
$
ethtool

有很多伺服器還是裸機狀態，可以看一下：

找到RAID 卡 (是否帶BBU備用電池?)、 CPU、空餘的內存插槽。根據這些情況可以大致了解硬體問題的來源和性能改進的辦法。
網卡是否設置好?
是否正運行在半雙工狀態? 速度是10MBps? 有沒有 TX/RX 報錯?

八、IO 性能

代碼如下:

$ iostat -kx 2
$ vmstat 2 10
$ mpstat
2 10
$ dstat --top-io --top-bio

這些命令對於調試後端性能非常有用。

檢查磁碟使用量：伺服器硬碟是否已滿?
是否開啟了swap交換模式 (si/so)?
CPU被誰佔用：系統進程? 用戶進程? 虛擬機?

dstat 是我的最愛。用它可以看到誰在進行 IO： 是不是MySQL吃掉了所有的系統資源? 還是你的PHP進程?

九、掛載點 和 文件系統

代碼如下:

$ mount
$ cat /etc/fstab
$ vgs
$
pvs
$ lvs
$ df -h
$ lsof +D / /* beware not to kill your box
*/

一共掛載了多少文件系統?
有沒有某個服務專用的文件系統? (比如MySQL?)
文件系統的掛載選項是什麼： noatime?
default? 有沒有文件系統被重新掛載為只讀模式了？
磁碟空間是否還有剩餘?
是否有大文件被刪除但沒有清空?

如果磁碟空間有問題，你是否還有空間來擴展一個分區？

十、內核、中斷和網路

代碼如下:

$ sysctl -a | grep ...
$ cat
/proc/interrupts
$ cat /proc/net/ip_conntrack /* may take some time on busy
servers */
$ netstat
$ ss -s

你的中斷請求是否是均衡地分配給CPU處理，還是會有某個CPU的核因為大量的網路中斷請求或者RAID請求而過載了？

SWAP交換的設置是什麼？對於工作站來說swappinness 設為 60 就很好,
不過對於伺服器就太糟了：你最好永遠不要讓伺服器做SWAP交換，不然對磁碟的讀寫會鎖死SWAP進程。

conntrack_max 是否設的足夠大，能應付你伺服器的流量?
在不同狀態下(TIME_WAIT, …)TCP連接時間的設置是怎樣的？

如果要顯示所有存在的連接，netstat 會比較慢， 你可以先用 ss 看一下總體情況。
你還可以看一下 Linux TCP tuning
了解網路性能調優的一些要點。

十一、系統日誌和內核消息

代碼如下:

$ dmesg
$ less /var/log/messages
$
less /var/log/secure
$ less /var/log/auth

查看錯誤和警告消息，比如看看是不是很多關於連接數過多導致？
看看是否有硬體錯誤或文件系統錯誤?

分析是否能將這些錯誤事件和前面發現的疑點進行時間上的比對。

十二、定時任務

代碼如下:

$ ls /etc/cron* + cat
$ for user in
$(cat /etc/passwd | cut -f1 -d:); do crontab -l -u $user; done

是否有某個定時任務運行過於頻繁?
是否有些用戶提交了隱藏的定時任務?
在出現故障的時候，是否正好有某個備份任務在執行？

十三、應用系統日誌

這里邊可分析的東西就多了,
不過恐怕你作為運維人員是沒功夫去仔細研究它的。關注那些明顯的問題，比如在一個典型的LAMP（Linux+Apache+Mysql+Perl）應用環境里:

Apache & Nginx; 查找訪問和錯誤日誌, 直接找 5xx 錯誤, 再看看是否有 limit_zone 錯誤。
MySQL;
在mysql.log找錯誤消息，看看有沒有結構損壞的表， 是否有innodb修復進程在運行，是否有disk/index/query 問題.

PHP-FPM; 如果設定了 php-slow 日誌, 直接找錯誤信息 (php, mysql, memcache, …)，如果沒設定，趕緊設定。

Varnish; 在varnishlog 和 varnishstat 里, 檢查 hit/miss比.
看看配置信息里是否遺漏了什麼規則，使最終用戶可以直接攻擊你的後端？
HA-Proxy;
後端的狀況如何？健康狀況檢查是否成功？是前端還是後端的隊列大小達到最大值了？

結論

經過這5分鍾之後，你應該對如下情況比較清楚了：

在伺服器上運行的都是些啥？
這個故障看起來是和 IO/硬體/網路 或者 系統配置 (有問題的代碼、系統內核調優, …)相關。

這個故障是否有你熟悉的一些特徵？比如對資料庫索引使用不當，或者太多的apache後台進程。

你甚至有可能找到真正的故障源頭。就算還沒有找到，搞清楚了上面這些情況之後，你現在也具備了深挖下去的條件。繼續努力吧！