阿里云
发表主题 回复主题
  • 18537阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 NL&g/4A[a  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 1:YDN.*  
使用下面的命令,可以分析下是否在被CC攻击。
i04Sf^  
r\],5x'xSu  
[%l+ C~m  
第一条命令: Cy6[p  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' 08k1 w,6W  
GU&XK7L  
8GlH)J+kq  
正常的输出结果类似于这样 u6r-{[W}  
vo7 1T<K  
POST /ajax/validator.php HTTP/1.1 }f&7<E  
POST /api_redirect.php HTTP/1.1 DA@ { d-A  
GET /team/57085.html HTTP/1.1 "6KOql3  
POST /order/pay.php HTTP/1.1 6\0GVM\  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 ?U-p jjM  
GET /static/theme/qq/css/index.css HTTP/1.1 I}:>M!w  
GET /static/js/index.js HTTP/1.1 /-|xxy  
GET /static/js/customize.js HTTP/1.1 ;prp6(c  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 v?LJ_>hw*T  
GET /static/js/jquery.js HTTP/1.1 |=%$7b\C  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 3^ Z tIZ  
GET /static/theme/qq/css/index.css HTTP/1.1 ?J6hiQvL  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 ["L?t ^*G  
GET /static/js/MSIE.PNG.js HTTP/1.1 A{+ZXu}  
GET /static/js/index.js HTTP/1.1 z0Zl'  
GET /static/js/customize.js HTTP/1.1 HKxrBQr78  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 q0c)pxD%`  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 T >-F~?7Sv  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 czZ-C +}%  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 @ics  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 R6:N`S]&d[  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 iTK1I0  
GET /static/js/jquery.js HTTP/1.1 6)bfd^JYn  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 3=K-+dhk|t  
正常命令结果以静态文件为主,比如css,js,各种图片。 5 + Jy  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 (6A{6_p  
Xs?>6i@$$  
_|Dt6  
第二条命令: ^al SyJ`  
tcpdump -s0 -A -n -i any | grep  ^User-Agent x NC>m&T  
,`Mlo  
输出结果类似于下面: "1nd~ BBOw  
-OW$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ^IId =V=2  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) X>B/DT  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Ud9\;Qse  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 JC+VG;kcs  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) M1>a,va8Zq  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) bQ4 }no0  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 2>r.[  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) h7w<.zwu t  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 W>Kwl*Cis"  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ZuhT \l  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) GkO6r'MVE  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 XDWERv Ij  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 *Xo f;)Z^  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) V cL  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) ;K_B,@:'  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 3_>1j  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 !6%mt}h  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 e8#3Y+Tc  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) uXC?fMWp.  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) )}aF=%  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) yUG5'<lX  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) +Oscy-;  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) i@6 /#  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) a]k&$  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 +OmSR*fA0  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) D^~g q`/)  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) >tzXbmFp;  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ?x0yiV~dL  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) pSP_cYa#(#  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) r?TK@^z  
w;(gi  
rifxr4c[X>  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 X3nhqQTZ  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 ChGM7uu2  
cn0Fz"d  
7y\g~?5N  
第三条命令: SDwSlwf  
tcpdump -s0 -A -n -i any | grep ^Host -(.7/G'Vk>  
Uk9g^\H<D  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 ni> ;8O]=  
输出结果类似于下面这样 *PEuaRDN  
m{ fQL  
Host: www.server110.com .7FI%  
Host: www.server110.com m =}X$QF`^  
Host: www.server110.com >B  
Host: upload.server110.com mmL~`i/  
Host: upload.server110.com q#`^EqtUF  
Host: upload.server110.com p'qH [<s  
Host: upload.server110.com xW =$j|  
Host: upload.server110.com @45H8|:k  
Host: upload.server110.com BT3O_X`u  
Host: upload.server110.com (Y)h+}n5N  
Host: upload.server110.com ;vdgF  
Host: upload.server110.com 8 36m5/kH[  
Host: www.server110.com fJ2{w[ne  
Host: upload.server110.com S(i(1Hs.  
Host: upload.server110.com 6 W;k IoB  
Host: upload.server110.com lM*O+k  
Host: www.server110.com AFTed?(  
Host: www.server110.com 0 0&$SE  
Host: upload.server110.com :, [ !8QP  
Host: upload.server110.com 8 -;ZPhN&  
Host: upload.server110.com ;|QR-m2/  
Host: www.server110.com "v!HKnDT  
Host: upload.server110.com X&.$/xaT  
Host: upload.server110.com W;dzLgc  
Host: www.server110.com ZHlin#"  
hX%v`8  
' u};z:t  
一般系统不会默认安装tcpdump命令 Xl6ZV,1=n7  
centos安装方法:yum install -y tcpdump $L8s/1up  
debian/ubuntu安装方法:apt-get install -y tcpdump $Wzv$4;  
V C'-h~  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 S\g7wXH  
!9LAXM  
YCBML!L  
原文地址: %GCd?cFF  
http://www.server110.com/linux_sec/201406/10670.html Qfu*F}  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7164
云币
15685

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1471
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21875

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个