CentOS服务器简单判断CC攻击的命令

使用下面的命令,可以分析下是否在被CC攻击。

第一条命令:

tcpdump -s0 -A -n -i any | grep -o -E ‘(GET|POST|HEAD) .*‘

正常的输出结果类似于这样

POST /ajax/validator.php HTTP/1.1

POST /api_redirect.php HTTP/1.1

GET /team/57085.html HTTP/1.1

POST /order/pay.php HTTP/1.1

GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1

GET /static/theme/qq/css/index.css HTTP/1.1

GET /static/js/index.js HTTP/1.1

GET /static/js/customize.js HTTP/1.1

GET /ajax/loginjs.php?type=topbar& HTTP/1.1

GET /static/js/jquery.js HTTP/1.1

GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1

GET /static/theme/qq/css/index.css HTTP/1.1

正常命令结果以静态文件为主,比如css,js,各种图片。

如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如果是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。

第二条命令:

tcpdump -s0 -A -n -i any | grep  ^User-Agent

输出结果类似于下面:

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space)

这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。

大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。

第三条命令:

tcpdump -s0 -A -n -i any | grep ^Host

如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求

输出结果类似于下面这样

Host: www.server110.com

Host: www.server110.com

Host: www.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: www.server110.com

Host: upload.server110.com

一般系统不会默认安装tcpdump命令

centos安装方法:yum install -y tcpdump

debian/ubuntu安装方法:apt-get install -y tcpdump

时间: 2024-11-08 22:45:45

CentOS服务器简单判断CC攻击的命令的相关文章

【随笔】Linux主机简单判断CC攻击的命令

今天看到一个很有意思的命令tcpdump,在这里记录下. 如果想要看tcpdump的详细用法,可以点击这里. 什么是CC攻击? 关于CC攻击,这里引用百度的解释: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,C

简单的cc攻击防御

简单的cc攻击防御cckiller 一.下载#wget wget --no-check-certificate https://zhangge.net/wp-content/uploads/files/cckiller/install.sh?ver=1.0.1 二.安装#mv install.sh?ver=1.0.1  install.sh#chmod +x install.sh#./install.sh -i 三.配置#cd /usr/local/cckiller 配置相应文件即可 四.启动#

Linux查CC攻击

什么是CC攻击? CC攻击就是利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭造成拒绝服务.那么如何判断查询CC攻击呢? 本文主要介绍了一些Linux下判断CC攻击的命令. 查看所有80端口的连接数 netstat -nat|grep -i "80"|wc -l 对连接的IP按连接数量进行排序 netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort

网站被CC攻击的原理与解决方法

作为站长或者公司的网站的网管,什么最可怕?显然是网站受到的DDoS攻击.大家都有这样的经历,就是在访问某一公司网站或者论坛时,如果这个网站或者论坛流量比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,网站或论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观. CC攻击是DDoS(分布式拒绝服务)的一种,相比其它的DDoS攻击CC似乎更有技术含量一些.这种攻击你见不到虚假IP,见不到特别大的异常流量,但造成服务器无法进行正常连接,一条ADSL

CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放 《CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放》来自张戈博客

张戈博客很久以前分享过一个CC攻击的防御脚本,写得不怎么样,不过被51CTO意外转载了.博客从此走上了经常被人拿来练手的不归之路. 当然,还是有不少朋友在生产环境使用,并且会留言询问相关问题.根据这些问题的需求,我花了一些时间重新写了一个比较满意的轻量级CC攻击防御脚本,我给它取了一个比较形象的名字:CCKiller,译为CC终结者. 一.功能申明 分享之前我必须先申明一下,众所周知,DDoS攻击指的是分布式拒绝服务.而CC攻击只是DDoS攻击的一种,本文所阐述的CC攻击,指的是每个IP都以高并

CC攻击原理及防范方法和如何防范CC攻击

一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止. 二.CC攻击的种类:  CC攻击的种类有三种,直接攻

服务器CC攻击

CC攻击可以归为DDoS攻击的一种.他们之间的原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击.CC攻击又可分为代理CC攻击,和肉鸡CC攻击.代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DDoS,和伪装就叫:cc(Challenge Collapsar).而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御.因为肉鸡可以模拟正常用户访问网站的请求.伪造成合法数据包.一个静态页面不需要服务器多少资源,甚至可以说直接从

网时云:香港服务器被cc攻击了怎么办?

我们在使用香港服务器搭建网站的过程中,经常会遇到一些恶意的骚扰,或者是各种各样的攻击,其中以CC攻击较为显著. CC攻击是一种模拟很多个用户对我们网站进行访问,实现对主机的合法请求,进一步实现DDOS和伪装连接,对主机造成攻击,这会让我们的主机系统资源消耗很大,导致访问的时候出现各种常见的问题,如卡顿,打不开的情况.这是比较常见的一种攻击模式,会在我们利用香港云主机.服务器建web的时候,对我们香港服务器进行攻击,主要出现在网站上的攻击.那么当我们的香港服务器被cc攻击了怎么办呢?网时云IDC为

linux的一些命令 -查看cc攻击-网口ip统计等

查看所有80端口的连接数 Java代码    netstat -nat|grep -i '80'|wc -l 对连接的IP按连接数量进行排序 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 查看TCP连接状态 netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn netstat -n | awk '/^tcp/ {++S[$NF]};END {fo