在运维和开发的日常工作中，CPU占用率突然飙升至100%往往是一个令人紧张的信号。这可能意味着服务器正在遭受攻击，但也可能是由于某些正常的、但资源密集型的任务或进程造成的。本文将探讨如何识别和应对服务器的异常CPU占用情况，并通过Python脚本示例，提供一种监控和诊断CPU占用率的方法。

一、CPU占用率100%：攻击or正常？

1.1 攻击迹象

• 持续性高占用：如果CPU占用率长时间保持在100%，且没有明显的原因（如定期执行的大规模数据处理任务），则可能是受到DDoS（分布式拒绝服务）攻击或其他类型的恶意活动。
• 网络流量异常：检查网络监控工具，如Nginx日志或Wireshark捕获的数据包，看是否有异常的流量模式，这通常是攻击者尝试访问或利用服务器资源的迹象。

1.2 正常现象

• 计划任务或批处理作业：例如，定期备份、大数据分析或视频转码等任务会暂时性地占用大量CPU资源。
• 软件升级或更新：系统或应用程序的升级过程也可能导致CPU使用率升高。

二、如何判断服务器是否被攻击

2.1 监控与分析

使用系统自带的工具或第三方监控软件来持续监控服务器状态。以下是一个简单的Python脚本，用于实时监控并记录CPU使用率：

import psutil
import time

def monitor_cpu_usage():
    while True:
        # 获取当前CPU使用率
        cpu_percent = psutil.cpu_percent(interval=1)
        
        print(f"Current CPU usage: {cpu_percent}%")
        
        # 如果CPU使用率达到100%，记录时间戳
        if cpu_percent == 100:
            with open('cpu_usage_log.txt', 'a') as f:
                f.write(f"Critical CPU usage detected at {time.strftime('%Y-%m-%d %H:%M:%S', time.localtime())}\n")
        
        time.sleep(5)  # 每隔5秒检查一次

if __name__ == "__main__":
    monitor_cpu_usage()

2.2 日志审查

审查系统和应用日志，寻找异常登录尝试、未授权访问或任何不寻常的活动记录。Linux系统中，/var/log目录下的日志文件通常包含关键信息。

2.3 网络流量分析

使用Wireshark、Tcpdump等工具分析网络流量，查找异常数据包或源IP地址，这有助于识别潜在的攻击源。

三、应对措施

一旦确定服务器受到攻击，应立即采取行动：

• 增加防火墙规则：阻止已知的恶意IP地址。
• 升级安全补丁：确保所有软件都是最新版本，修复已知的安全漏洞。
• 隔离受影响的服务器：如果可能，暂时断开其网络连接，直到威胁被清除。
• 通知安全团队：如果是大型组织，及时与内部安全团队沟通，以便采取进一步的防护措施。

总结：虽然CPU占用率达到100%可能是攻击的迹象，但也有许多正常情况下会发生的情况。通过持续监控、日志审查和网络流量分析，可以有效识别并应对潜在的威胁。上述Python脚本提供了一个基础的监控框架，可根据具体需求进行扩展和定制。