阿里云
发表主题 回复主题
  • 14464阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 g]44|9x(W  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 zSsBbu:  
使用下面的命令,可以分析下是否在被CC攻击。
? B|i  
9dszn^]T  
75R4[C6T  
第一条命令: SV ~QH&0'  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' VY~*QF~P  
~v/` `s  
q |Pebe=  
正常的输出结果类似于这样 RmKbnS $*q  
PPpaH!(D  
POST /ajax/validator.php HTTP/1.1 v\!Cq+lFML  
POST /api_redirect.php HTTP/1.1 p.4Sgeh#  
GET /team/57085.html HTTP/1.1 ^"/TWl>jB  
POST /order/pay.php HTTP/1.1 g_tEUaiK  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 IWN18aaL?  
GET /static/theme/qq/css/index.css HTTP/1.1 K|~ !oQ  
GET /static/js/index.js HTTP/1.1 %(? ;`  
GET /static/js/customize.js HTTP/1.1 E:\#Ur2  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 Z *l&<q>#  
GET /static/js/jquery.js HTTP/1.1 5c%Fb :BW=  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 'S v V10$5  
GET /static/theme/qq/css/index.css HTTP/1.1 TDP Q+Kg_  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 {}" <  
GET /static/js/MSIE.PNG.js HTTP/1.1 #z_.!E  
GET /static/js/index.js HTTP/1.1 9ucoQ@  
GET /static/js/customize.js HTTP/1.1 \Z~@/OVc  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 5?j#  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 4|eI_u{_  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 -=1>t3~\  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 K"Irg.  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 <1~_nt~(*  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 Y{4nBu  
GET /static/js/jquery.js HTTP/1.1 9I1`*0A  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 e5n"(s"G*[  
正常命令结果以静态文件为主,比如css,js,各种图片。 YZ->ep}  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 kk CoOTe&  
d.U"lP/)D  
eM7 F8j  
第二条命令: u~N'UD1x  
tcpdump -s0 -A -n -i any | grep  ^User-Agent \:Hh'-77q  
1)-VlQK p  
输出结果类似于下面: S*ie$}ZX  
[RDY(}P%  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) b^P\Kky  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ZtI@$ An  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 RS{E|  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 5S7ATr(*  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) l>7?B2^<E  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) E,A9+OKxJ  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) /E Z -  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ~^g*cA t}  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 /XuOv(j  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 }%,LV]rGEZ  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) Sjmq\A88dc  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 gp^xl>E  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 4_ZHY?VRd  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) t1o_x}z4.  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) '"V]>)  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 55Ye7P-d  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 "!o|^nN,  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 pG$l   
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) -D_xA10  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) l27J  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) H<3a yp$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Rap_1o9#\  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Ke\FzZ]  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) tHH @[E+h  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 <TEDs4 C  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) 6[]O3Aa  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) KyzdJ^xC"  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ].x`Fq3  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) E@)9'?q  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Q~)A fa{  
=K6{AmG$  
N6/;p]|  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 I oC}0C7  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。  \.MPjD  
,mD{4 >7  
W&9X <c*  
第三条命令: 4]ETF+   
tcpdump -s0 -A -n -i any | grep ^Host 7V;wCm#b  
sKL"JA T  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 M{`uI8vD  
输出结果类似于下面这样 :stA]JB# w  
U$6(@&P!  
Host: www.server110.com Ku]<$uo  
Host: www.server110.com d /`d:g  
Host: www.server110.com a^Lo;kHY  
Host: upload.server110.com M[5fNK&nD  
Host: upload.server110.com "v5jYz5M  
Host: upload.server110.com 43o!Vr/ S  
Host: upload.server110.com N/eFwv.Er  
Host: upload.server110.com q-d#bKIf  
Host: upload.server110.com 4[f>kY%[  
Host: upload.server110.com ?8@EBPpC  
Host: upload.server110.com C_V5.6T!  
Host: upload.server110.com ](sT,'  
Host: www.server110.com U jB5Xks  
Host: upload.server110.com Q`[J3-Q*{  
Host: upload.server110.com OA8iTn  
Host: upload.server110.com rn%q*_3-o  
Host: www.server110.com WxF0LhM  
Host: www.server110.com _D~FwF&A  
Host: upload.server110.com 5jK9cF$>  
Host: upload.server110.com `ouCQ]tKz  
Host: upload.server110.com Tyt1a>! qA  
Host: www.server110.com ?<eH!MHF  
Host: upload.server110.com ">"B  
Host: upload.server110.com ~ZZJ/Cu  
Host: www.server110.com C: <TJ  
RI-)Qx&!f  
QAKA3{-(  
一般系统不会默认安装tcpdump命令 zT"W(3  
centos安装方法:yum install -y tcpdump 04QY x}a  
debian/ubuntu安装方法:apt-get install -y tcpdump k5]`:k6  
D;WQNlTU  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 Q[.HoqWK  
s!F` 0=J^  
'AJlkLqm#>  
原文地址: k<!xOg  
http://www.server110.com/linux_sec/201406/10670.html Vrx3%_NkQ  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7013
云币
15462

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1459
云币
1459
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21871

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个