阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 17901阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 b]@^SN9  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 q*52|?  
使用下面的命令,可以分析下是否在被CC攻击。
O9jqeF`L=  
=`u4xa#m  
D/{hLp{  
第一条命令: rtC.!].;%  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' z^@98:x  
RP!X 5  
'f]\@&Np  
正常的输出结果类似于这样 cjp H hoW  
r,aV11{  
POST /ajax/validator.php HTTP/1.1 xV}-[W5sr'  
POST /api_redirect.php HTTP/1.1 Yq}(O<ol  
GET /team/57085.html HTTP/1.1 LL4yafh  
POST /order/pay.php HTTP/1.1 Ar,B7-F!  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 6]1cy&SG  
GET /static/theme/qq/css/index.css HTTP/1.1 {L4ta~2/T  
GET /static/js/index.js HTTP/1.1 '+JU(x{CCl  
GET /static/js/customize.js HTTP/1.1 }y;s(4  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 Y?ouB  
GET /static/js/jquery.js HTTP/1.1 *`7cvt5]IM  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 j&(aoGl@  
GET /static/theme/qq/css/index.css HTTP/1.1 wak_^8x  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 \c(R#*0,  
GET /static/js/MSIE.PNG.js HTTP/1.1 Z]jm.'@z@  
GET /static/js/index.js HTTP/1.1 Db3# ;  
GET /static/js/customize.js HTTP/1.1 ;Hk{bz(  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 =^%#F~o:  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 w7+3?'L  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 o-H\vtOjE  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 Rw-!P>S$  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 u?,M`w0'  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 }V:ZGP#!'  
GET /static/js/jquery.js HTTP/1.1 Y)lYEhF  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 LpN_s#  
正常命令结果以静态文件为主,比如css,js,各种图片。 rY yB"|  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。  <m7m  
|soDt <y+L  
:rR)rj'  
第二条命令: dX^ ^ @7  
tcpdump -s0 -A -n -i any | grep  ^User-Agent KFZ2%:6>  
$S Kax#[  
输出结果类似于下面: JiH^N!  
awu18(;J  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) N=%4V  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) GP<PU  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ; D'6sd"  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 A~0eJaq+  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) lW6$v* s9  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) CmP_9M?ce  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ,v\^efc:%  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) L/*D5k%J  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 8=kIN-l_  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 I) ]"`2w2w  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) !pT i.3  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 k7ye,_&>  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 j{&*]QTN  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) r&rip^40  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) !a9`]c  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 CqFk(Td9-D  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 M1HGXdN*B  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ^ L?2y/  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) lD9QS ;  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) " i!Xiy~  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) &) qs0  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) BS*Y3$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ;X;q8J^_K_  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) [ikW3 '99,  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Ht4A   
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) 9 `+RmX;m  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) nVyV]'-z  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) WzhY4"p  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2)  Q'~3Ik  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) |\BxKwS^  
M!4}B  
nq%GLUH   
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 wGLSei-s  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 T|^KG<uPV!  
]5a,%*f+  
^~` t q+  
第三条命令: S; Fj9\2)I  
tcpdump -s0 -A -n -i any | grep ^Host |V-)3 #c  
/ n@by4;W  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 0zc~!r~  
输出结果类似于下面这样 }cO}H2m  
s;W1YN  
Host: www.server110.com 6 K-jje;)  
Host: www.server110.com Z/oP?2/Afh  
Host: www.server110.com \Xpq=2`  
Host: upload.server110.com z8JdA%YBM  
Host: upload.server110.com IA~wmOF  
Host: upload.server110.com (5h+b_eB  
Host: upload.server110.com ?4sF:Y+\  
Host: upload.server110.com 5Y#~+Im=[@  
Host: upload.server110.com ~]78R!HJ  
Host: upload.server110.com w$$vR   
Host: upload.server110.com L(`Rf0smt  
Host: upload.server110.com ~JX+4~qT  
Host: www.server110.com ' }T6dS  
Host: upload.server110.com cr>"LAi  
Host: upload.server110.com ?TMrnR/d  
Host: upload.server110.com L4!T  
Host: www.server110.com ss'`[QhR2  
Host: www.server110.com ?bw1zYP  
Host: upload.server110.com b |JM4jgK  
Host: upload.server110.com !8}x6  
Host: upload.server110.com 8omk4 ;  
Host: www.server110.com '[`pU>9  
Host: upload.server110.com (4"Azo*~![  
Host: upload.server110.com aP`V  
Host: www.server110.com "!z9UiA  
xa?   
KiYz]IM$4  
一般系统不会默认安装tcpdump命令 2>h.K/pC  
centos安装方法:yum install -y tcpdump &\ \)x.!  
debian/ubuntu安装方法:apt-get install -y tcpdump ,+o*>fD  
<,huajQs  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 ,_!MI+o0  
X%]m^[6  
.!yw@kg  
原文地址: gF8n{b  
http://www.server110.com/linux_sec/201406/10670.html !fK9YW(Im  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7156
云币
15669

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1468
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21873

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个