阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 20075阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10681
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 _:ZFCDO  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 *c~'0|r  
使用下面的命令,可以分析下是否在被CC攻击。
3xmiX{1e  
[0%yJH  
8CP9DS  
第一条命令: 3D?IG\3  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' a!c/5)v(  
+X* F<6mZ  
QoW ( tM  
正常的输出结果类似于这样 *tTP8ZCQ[  
g( ]b\rj  
POST /ajax/validator.php HTTP/1.1 dl*_ m3T  
POST /api_redirect.php HTTP/1.1 RMS.1:O  
GET /team/57085.html HTTP/1.1 dAYI DE  
POST /order/pay.php HTTP/1.1 8Ehy9<  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 ]Wy^VcqX  
GET /static/theme/qq/css/index.css HTTP/1.1 ^w;o\G  
GET /static/js/index.js HTTP/1.1 4B:\  
GET /static/js/customize.js HTTP/1.1 _%A/ )  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 Z-4K?;g'k  
GET /static/js/jquery.js HTTP/1.1 a-T*'F  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 {Ior.(D>Y  
GET /static/theme/qq/css/index.css HTTP/1.1 $\0cJCQ3  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 92P ,:2`a  
GET /static/js/MSIE.PNG.js HTTP/1.1 K?h[.`}  
GET /static/js/index.js HTTP/1.1 |Q5H9<*  
GET /static/js/customize.js HTTP/1.1 c0!Te'?  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 $Qn& jI38  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 bajC-5R1k  
GET /static/theme/qq/css/i/logos.png HTTP/1.1  'P@=/  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 #t"9TP  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 3q'K5} _  
GET /static/theme/qq/css/i/new.gif HTTP/1.1  O]e6i%?  
GET /static/js/jquery.js HTTP/1.1 W@:^aH  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 z7'n, [  
正常命令结果以静态文件为主,比如css,js,各种图片。 P\D[n-&  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 ^K7q<X,  
jG+T.  
hVlyEsLg  
第二条命令: 2B6^ ]pSk  
tcpdump -s0 -A -n -i any | grep  ^User-Agent 'b LP ~  
1P5*wNF  
输出结果类似于下面: tH-gaDj_  
i0ILb/LS  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) am]3 "V>  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) b cC\  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 V8-4>H}Cb/  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ILNE 4n  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 60~v t04  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 0Wa#lkn$I  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) j1'\R+4U  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Xfj)gPt}  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 [Dnusp7e  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 (:ZPt(1  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) g* %bzfk=|  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 S*;#'j)4+  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 0 9tikj1  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) b21}49bHN  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Q?W r7  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 AzZi{Q ?  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 &u&2D$K,tp  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 HS7R lU^  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) $H4=QVj6  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) JFe4/ V  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) SzRL}}I  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) nZe\5`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) =1O?jrl~q  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) &Y{F? c^  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1  /; +oz  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) 'wa g |-  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) OO$|9`a  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) q5!0\o:  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) Yi[4DfA  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 5qGGu.$Ihi  
fTTm$,f5N  
YRXK@'[=  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 U8E0~[y'  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 wtq,`'B  
&ryiG  
o94P I*.  
第三条命令: K@HLIuz4t  
tcpdump -s0 -A -n -i any | grep ^Host Rb?~ Rs\  
y`({ .L  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 L+7*NaPY*  
输出结果类似于下面这样 m.!wsw  
6I"C~&dt  
Host: www.server110.com {QMN=O&n  
Host: www.server110.com ekrBNDs9  
Host: www.server110.com :fhB*SYK  
Host: upload.server110.com D]jkR} t  
Host: upload.server110.com G<|:605  
Host: upload.server110.com !F-sA: xq  
Host: upload.server110.com &eU3(F`.  
Host: upload.server110.com \PzN XQ$  
Host: upload.server110.com FQ1arUOFW,  
Host: upload.server110.com {|Bd?U;  
Host: upload.server110.com zqY)dk  
Host: upload.server110.com b1 H7  
Host: www.server110.com }Iip+URG  
Host: upload.server110.com .izf#r:<  
Host: upload.server110.com K0LbZMn,/  
Host: upload.server110.com J,9%%S8/C  
Host: www.server110.com Qd?CTYNsv  
Host: www.server110.com 1EQvcw #  
Host: upload.server110.com *CzCUu:%t  
Host: upload.server110.com ]r!QmWw~V  
Host: upload.server110.com ^:+Rg}]W^  
Host: www.server110.com q#jEv-j.  
Host: upload.server110.com F'rt>YvF  
Host: upload.server110.com ~x\Cmu9`  
Host: www.server110.com wW^Zb  
 tq0;^L  
_!%M%  
一般系统不会默认安装tcpdump命令 ]H>+m 9  
centos安装方法:yum install -y tcpdump 4j{oaey  
debian/ubuntu安装方法:apt-get install -y tcpdump EQ/^&  
95[wM6?J  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 y~dB5/  
5tMh/]IeS  
_F^$aZt?e  
原文地址: BKX 9 SL]  
http://www.server110.com/linux_sec/201406/10670.html YNk|+A.<d  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7170
云币
15705

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1473
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21878

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)