阿里云
服务器地域选择
发表主题 回复主题
  • 13944阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 A 6d+RAx  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 c~V\,lcI  
使用下面的命令,可以分析下是否在被CC攻击。
m{g{"=}YR  
o]vdxkU]  
<K43f#%  
第一条命令: 8L#sg^1V  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' {0|^F!1z  
/N $T[  
V\ |b#?KL  
正常的输出结果类似于这样 uJ[dO}  
;3w W)gL1  
POST /ajax/validator.php HTTP/1.1 b@7 ItzD  
POST /api_redirect.php HTTP/1.1 k,?k37%T]  
GET /team/57085.html HTTP/1.1 Co'dZd(  
POST /order/pay.php HTTP/1.1 M8h9i2  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 P6MT[  
GET /static/theme/qq/css/index.css HTTP/1.1 G  B15  
GET /static/js/index.js HTTP/1.1 1&dWt_\  
GET /static/js/customize.js HTTP/1.1 )T^hyi$  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 UW\.!TV  
GET /static/js/jquery.js HTTP/1.1 YcIk{_N3  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 4FYws5]$  
GET /static/theme/qq/css/index.css HTTP/1.1 Q@2Smtu~c  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 W<~(ieu:K~  
GET /static/js/MSIE.PNG.js HTTP/1.1 1e }wDMU(  
GET /static/js/index.js HTTP/1.1 K\uR=L7  
GET /static/js/customize.js HTTP/1.1 ;lP)  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 Gv<K#@9T  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 .uhP (  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 / JlUqC  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 V97Eb>@  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 s{gdTG6v`  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 Nl1&na)K}  
GET /static/js/jquery.js HTTP/1.1 N O'-HKHj  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 CT/`Kg_  
正常命令结果以静态文件为主,比如css,js,各种图片。 m+CvU?)gJ  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 0rF{"HM~  
Z x3m$.8  
NKO5c?ds  
第二条命令: J3C"W7 94}  
tcpdump -s0 -A -n -i any | grep  ^User-Agent KN5.2pp  
Tf` ~=fg%  
输出结果类似于下面: w J; y4  
JWC{"6  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) gJ:Z7b  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) eQA89 :j,  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 uS3J^=>@(a  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Wo\NX05-?  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) #k*e>d$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) BJ1txdxvS  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 4k}u`8 a  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) VcA87*pel  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 CKyX  Z  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 v:eVK!O  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) [ q22?kT  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 (eFHMRMv~  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Mvu!  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) ~}(}:#>T  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) }"E?#&^  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 gCW.;|2  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Kb#py6  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 YOd 0dKe  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ">j}!n 8J  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) "o+< \B~  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Y7{IF X  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) B~G ?&"]  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) fq48>"g*  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) g:7S/L0]  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 @2nar<  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) c_"]AhV~Mg  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 40w,:$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) zW+X5yK  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) C4Z}WBS(  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) kI<;rP1S|  
omevF>b;  
wuR Q H]N  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 }6*+>?  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 >4b:`L  
O~?H\2S  
d}2tqPya  
第三条命令: OGpy\0%  
tcpdump -s0 -A -n -i any | grep ^Host XHKiz2Pc1  
[#hpWNez(>  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 {]BPSj{B  
输出结果类似于下面这样 E!nEB(FD  
Aru=f~!  
Host: www.server110.com W5z<+8R  
Host: www.server110.com ]/g&y5RG  
Host: www.server110.com #}Y$+FtO  
Host: upload.server110.com LS;j]!CU  
Host: upload.server110.com gT8Q:8f:  
Host: upload.server110.com <q\OREMsq  
Host: upload.server110.com a@4 Z x  
Host: upload.server110.com r*_z<^d  
Host: upload.server110.com w{TZN{Y  
Host: upload.server110.com \vwsRT 1  
Host: upload.server110.com oHh~!#u  
Host: upload.server110.com {;mT.[  
Host: www.server110.com }9=X*'BO  
Host: upload.server110.com jEU`ko_  
Host: upload.server110.com B}S!l>.z  
Host: upload.server110.com '^mCLfo0}  
Host: www.server110.com ufl[sj%^|  
Host: www.server110.com 5\!t!FL_  
Host: upload.server110.com fL$U%I3  
Host: upload.server110.com _UP =zW  
Host: upload.server110.com Bk)E]Fk|  
Host: www.server110.com j}s<Pn%4  
Host: upload.server110.com Odn`q=  
Host: upload.server110.com Y6W#u iqk  
Host: www.server110.com Z2P DT  
@kh:o\  
a%nksuP3  
一般系统不会默认安装tcpdump命令 TwfQq`  
centos安装方法:yum install -y tcpdump 9f=L'{  
debian/ubuntu安装方法:apt-get install -y tcpdump b6(LoN.  
6&9}M Oc  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 etw.l~y   
, B90r7K:  
b?^CnMO  
原文地址: wqnrN6$jf  
http://www.server110.com/linux_sec/201406/10670.html n3z]&J5fr  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
6963
云币
15354

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1459
云币
1459
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21868

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个