阿里云
发表主题 回复主题
  • 17297阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 CjQO5  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 y d 97ys  
使用下面的命令,可以分析下是否在被CC攻击。
2nB99L{6  
yV{B,T`W  
BY6#dlDi  
第一条命令: S:_Ms{S  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' |RiJ>/ MK\  
3^o(\=-JX  
Q Q3<)i  
正常的输出结果类似于这样 i<Vc~ !pT  
7s|'NTp  
POST /ajax/validator.php HTTP/1.1 dEoIVy_9R  
POST /api_redirect.php HTTP/1.1 Nn. 9J  
GET /team/57085.html HTTP/1.1 XQ]K,# i  
POST /order/pay.php HTTP/1.1 ]ZY2\'  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 t}q e_c  
GET /static/theme/qq/css/index.css HTTP/1.1 buGBqx[  
GET /static/js/index.js HTTP/1.1 r6m^~Wq!}  
GET /static/js/customize.js HTTP/1.1 T`bYidA  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 @Po5AK3cy  
GET /static/js/jquery.js HTTP/1.1 =A"Abmx|  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 A WR :~{  
GET /static/theme/qq/css/index.css HTTP/1.1 8MJJ w;  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 .a*?Pal@@  
GET /static/js/MSIE.PNG.js HTTP/1.1 E=sh^Q(A  
GET /static/js/index.js HTTP/1.1 j_8 YFz5  
GET /static/js/customize.js HTTP/1.1 sfM"!{7  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 8 1,N92T5  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 BPY7O  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 !7N:cx'Qy  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 l;; 2\mL?  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1  >G]JwO  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 .hT>a<  
GET /static/js/jquery.js HTTP/1.1 ewMVUq*:  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 -$d?e%}#  
正常命令结果以静态文件为主,比如css,js,各种图片。 voa)V 1A/]  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 jB LTEb  
Y 6a`{'  
W5R/Ub@g  
第二条命令: uzd7v,  
tcpdump -s0 -A -n -i any | grep  ^User-Agent m eF7[>!U  
!nmZ"n|}p  
输出结果类似于下面: 3lUVDNbZ  
LRJX>+@  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 0Wr<l%M)+  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) o|xf2k  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 f1'ByV'2  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 X5)D[aE6  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) oC&}lp)q  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) _J,**AZ~z  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) o@Ye_aM~?Y  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) !wYN",R-  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 }z]d]  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 f|> rp[Gk  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) W~ yb>+u  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 RoqkT|#$  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 mR0`wrt  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) s< tG  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) _H| )g*]t  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 7 [Us.V@  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 c&c  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 u(9pRr L  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) w-).HPe  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Y.m1d?H 1  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 1hbQ30  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) xF_u:}7`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) U][E`[m#  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) g`y9UYeh  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 `xM*cJTZ  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) U]Q 5};FK  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) iwnGWGcuS  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) >MYxj}I4{z  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) W6?=9].gc  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) rfDGS%!O%  
MR "f)  
x8lBpr  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 ?>7\L'n=5I  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 aT^ $'_ G  
]ZLF=  
0\i\G|5  
第三条命令: qkfof{z  
tcpdump -s0 -A -n -i any | grep ^Host $NCvF'  
_JC*4  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 V@0T&#  
输出结果类似于下面这样 IB|!51H  
xWLZlUHEu  
Host: www.server110.com >V.?XZ nt  
Host: www.server110.com c@>ztQU*  
Host: www.server110.com WX Fm'5Vr  
Host: upload.server110.com Ry[7PLn]  
Host: upload.server110.com MTt8O+J?P~  
Host: upload.server110.com +1#;s!e  
Host: upload.server110.com "1|g eO|  
Host: upload.server110.com Gd!_9S`68  
Host: upload.server110.com D <~UaHfk  
Host: upload.server110.com c RI2$|  
Host: upload.server110.com WG,Il/  
Host: upload.server110.com kRggVRM  
Host: www.server110.com \= ({T_j4  
Host: upload.server110.com XK~HfA?  
Host: upload.server110.com U/FysN_N!  
Host: upload.server110.com dr#%~I  
Host: www.server110.com 3]S_w[Q4  
Host: www.server110.com tF[) Y#  
Host: upload.server110.com O<fy^[r:`  
Host: upload.server110.com _G)A$6weU  
Host: upload.server110.com b1^wK"#  
Host: www.server110.com g mWwlkf9  
Host: upload.server110.com it{Jd\/hR  
Host: upload.server110.com 0.m-}  
Host: www.server110.com }r18Y6  
z}}P+P/  
?9?A)?O<j~  
一般系统不会默认安装tcpdump命令 }e|cszNRd  
centos安装方法:yum install -y tcpdump XD8Cf!  
debian/ubuntu安装方法:apt-get install -y tcpdump oFp1QrI3k8  
7Wv.-LD6  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 P cbhylKd  
D,*|:i  
Xm<_!=  
原文地址: ,ye[TQ\,M  
http://www.server110.com/linux_sec/201406/10670.html Q(A$ >A  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7077
云币
15555

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1467
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21873

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个