Absolutamente sim, porque um ataque DDoS é projetado para sobrecarregar os recursos do servidor. O que significa que sua média de carga dispara & sua memória é maximizada ao ponto de trocar para o disco. E não precisa ser apenas um ataque à porta 22. Consegui vários servidores da Web que se tornaram inacessíveis devido ao cenário que descrevi acima.
A melhor solução para um problema como esse é fazer o login por meio de um console remoto mais próximo da máquina do que via SSH. Como nas configurações de servidores em nuvem, onde você tem a opção de iniciar um terminal baseado em Java. Mas isso - é claro - é baseado em você ter acesso assim.
A outra alternativa é esperar dolorosamente que a conexão SSH aconteça enquanto seu servidor está sendo DDoS'ed. Às vezes funciona. Mas às vezes eu tenho que abrir um punhado de janelas e ver qual delas é o primeiro.
EDITAR: E se você quiser detectar proativamente se seu sistema está usando recursos, recomendo usar Monit . Eu uso um script como este na Monit, que faz duas coisas além de enviar e-mails quando algo acontece. Um deles detecta se o seu servidor web está inacessível (aka: down) e automaticamente o reinicia. Mas para você talvez a área loadavg
faça mais sentido. Eu tenho isso definido para 7 aqui & ele tenta reiniciar o servidor para liberar conexões & tente recuperá-lo no controle se a média da carga estiver consistentemente em 7 ou acima. Fazer coisas como usar o Monit garante que você tenha um melhor controle sobre um DDoS quando isso acontecer.
check process apache with pidfile /var/run/apache2.pid
start "/etc/init.d/apache2 start"
stop "/etc/init.d/apache2 stop"
if failed host 127.0.0.1 port 80
with timeout 15 seconds
then restart
if loadavg (1min) greater than 7
for 5 cycles
then restart
alert [email protected] only on { timeout, nonexist, resource }