阿里云
向代码致敬,寻找你的第83行
发表主题 回复主题
  • 16115阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 ,ynN801\m  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 In%FOPO  
使用下面的命令,可以分析下是否在被CC攻击。
<w~$S0_  
pK{G2]OK{U  
={o4lFe3v(  
第一条命令: >J;J&]Olf  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' [W[awGf  
|uFb(kL[U  
%CQa8<q  
正常的输出结果类似于这样 $ta"Ug.z  
! Y UT*  
POST /ajax/validator.php HTTP/1.1 TGG=9a]m  
POST /api_redirect.php HTTP/1.1 ixM#|Yq  
GET /team/57085.html HTTP/1.1 m|?1HCRXRI  
POST /order/pay.php HTTP/1.1 dwvc;f-  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 L*Ffic  
GET /static/theme/qq/css/index.css HTTP/1.1 1GR|$E  
GET /static/js/index.js HTTP/1.1 =Ldf#8J  
GET /static/js/customize.js HTTP/1.1 KTo}xLT  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 It3@ Cd>  
GET /static/js/jquery.js HTTP/1.1 >PdrLwKS  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 (Y&gse1}!  
GET /static/theme/qq/css/index.css HTTP/1.1 fK@UlMC]7  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 x`wUi*G  
GET /static/js/MSIE.PNG.js HTTP/1.1 GmUm?A@B  
GET /static/js/index.js HTTP/1.1 ="@f~~  
GET /static/js/customize.js HTTP/1.1 =VWH8w.3  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 }{J>kgr6  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 rf^IJY[  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 {}Afah  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 gHL:XW^  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 -yIx:*KI  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 <[gN4x>'  
GET /static/js/jquery.js HTTP/1.1 6]!Jo)BF  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 KxJDAP  
正常命令结果以静态文件为主,比如css,js,各种图片。 iy8Ln,4z(  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 {c $8?6  
FhEfW7]0,  
'vZWk eo  
第二条命令: lH,/N4 r*&  
tcpdump -s0 -A -n -i any | grep  ^User-Agent uXGAcUx(  
8RZqoQDH  
输出结果类似于下面: O+DYh=m*p  
>#;>6q9_  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ?%>S5,f_  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) sw(|EZ7F  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 JVx-4?  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 "GxQ9=Z  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) (x[z=_I%`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 5cr\ JR  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) *u>[  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) {|q(4(f"Iu  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 k <LFH(  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 k#5Qwxu`  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) |)ALJJ=+  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 vWYU'_=  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 CY@#_z  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) s<LYSrd  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) :u?L y[x  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 w[;5]z  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 2B=BRVtSs  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 7t% |s!~  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) /yO0Z1G  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 0ol*!@?  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) a7fn{VU8  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) K3J,f2Cn$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) `Y<FR  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) j@jUuYuDgl  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Vfr.Yoy  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) { =IAS}  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ]M&KUgz  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) x?G"58  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) gp]T.ol  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) z dUSmb  
yT C+5_7  
mA\}zLw+r9  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 3ZL<6`YF  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 k4~2hD<|  
5}'W8gV?  
k:`yxxYIh  
第三条命令: = _/XFN  
tcpdump -s0 -A -n -i any | grep ^Host bb`8YF+?'  
t`"pn <  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 9at_F'> R  
输出结果类似于下面这样 M:.0]'[s5  
WKONK;U+7  
Host: www.server110.com 0hOps5c8=  
Host: www.server110.com sk~inIj-  
Host: www.server110.com yz^Rm2$f9  
Host: upload.server110.com l[b`4  
Host: upload.server110.com t'bhA20Z\  
Host: upload.server110.com =$F<Ac;&  
Host: upload.server110.com yey]#M[y  
Host: upload.server110.com lw_PQ4Hp  
Host: upload.server110.com {1J4Q[N9m  
Host: upload.server110.com h~u|v[@{J  
Host: upload.server110.com cPPTGpqw  
Host: upload.server110.com %@Nu{?I  
Host: www.server110.com )PjU=@$lI  
Host: upload.server110.com ow K)]t  
Host: upload.server110.com F0/!+ho  
Host: upload.server110.com .._UI2MA  
Host: www.server110.com i&\ c DQ 3  
Host: www.server110.com dc,qQM  
Host: upload.server110.com Nd%j0lj  
Host: upload.server110.com 5b;~&N4~  
Host: upload.server110.com sff4N>XAl<  
Host: www.server110.com cng166}1A  
Host: upload.server110.com z2[{3Kd*  
Host: upload.server110.com $Ahe Vps@@  
Host: www.server110.com N%!{n7`N:  
FPukV^  
\"6?*L|]  
一般系统不会默认安装tcpdump命令 r>B|JPm  
centos安装方法:yum install -y tcpdump R0YWe  
debian/ubuntu安装方法:apt-get install -y tcpdump nt$q< 57  
*g[MGyF "  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 /n1L},67h  
W}@IUCRs  
~9n30j%]s  
原文地址: 1G )I|v9R  
http://www.server110.com/linux_sec/201406/10670.html heQyz|o  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7054
云币
15520

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1463
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21873

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个