发表主题 回复主题
  • 12123阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 JXRf4QmG  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 CWe>jlUQ  
使用下面的命令,可以分析下是否在被CC攻击。
Rr;LV<q+  
Jyz$&jqyr'  
kq}eUY]  
第一条命令: zEPx  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' HHIUl,P  
kSDa\l!W]  
qnk,E-  
正常的输出结果类似于这样 I bv_D$cT  
j zmSFKg*  
POST /ajax/validator.php HTTP/1.1 &b@!DAwAJ  
POST /api_redirect.php HTTP/1.1 pW3)Y5/D  
GET /team/57085.html HTTP/1.1 w(e+o.:  
POST /order/pay.php HTTP/1.1 dj y:  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 ox\B3U%`p}  
GET /static/theme/qq/css/index.css HTTP/1.1 C@UJOB  
GET /static/js/index.js HTTP/1.1 u5{5ts+:  
GET /static/js/customize.js HTTP/1.1 =6Kv`  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 TH(Lzrbg  
GET /static/js/jquery.js HTTP/1.1 )(?UA$"  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 \{M rQ2jd  
GET /static/theme/qq/css/index.css HTTP/1.1 k}f<'g<H  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 iQm.]A  
GET /static/js/MSIE.PNG.js HTTP/1.1 ;*)fO? TG)  
GET /static/js/index.js HTTP/1.1 kP}hUrDX5  
GET /static/js/customize.js HTTP/1.1 I"F .%re  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 p'%: M  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 /:Z~"Q*r  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 (Xr_ np @  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 vU8FHVytV  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 _r<zSH%  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 LpiHoavv  
GET /static/js/jquery.js HTTP/1.1 V'Z&>6Z  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 P+;CE|J`X  
正常命令结果以静态文件为主,比如css,js,各种图片。 x#:BE  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 Xew1LPI  
6m-:F.k1(  
2<6`TA*m  
第二条命令: "J8;4p  
tcpdump -s0 -A -n -i any | grep  ^User-Agent d Y:|Ef|v(  
U=&^H!LVY  
输出结果类似于下面: XoKO2<3  
d4y9AE@k  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Ss#@=:"P  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) |b$>68:  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 u{OS6Ky  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 t g KG&  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ;0w^ud  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ` j&0VIU>>  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) VxkCK02k  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) `2x H7a-  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 `1E|PQbWc  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 kCaO\#ta  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) 99l>CYXd  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 '%zN  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 X(Y#9N"  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) GI2eJK  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) X q}Ucpj  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 w(76H^e  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 a|DsHZ^6^  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 B :.@Qi^  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) !_CX2|  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) !dU9sB2  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) v! 7s M  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) d]tv'|E13  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) V]I:2k5  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) $& cz$jyY  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 {>8Pl2J  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) QWrIa1.JC  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) {Ge+O<mD  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) X}ZlWJ  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) 8F#osN  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) , N53Iic  
' |&>/dyq  
=43I1&_   
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 A_!QrM  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 !Eq#[Gs  
z{ptm7  
 n;wwMMBM  
第三条命令: # ;K,,ku x  
tcpdump -s0 -A -n -i any | grep ^Host 4-mVB wq  
cAD[3b[Gk  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 qAoAUD m  
输出结果类似于下面这样 l , ..5   
GL1'Zo  
Host: www.server110.com 93j{.0]X  
Host: www.server110.com -<_QF82  
Host: www.server110.com AXs=1  e  
Host: upload.server110.com KU-'+k2s;p  
Host: upload.server110.com j~bAbOX12  
Host: upload.server110.com [F+(^- (  
Host: upload.server110.com LheFQ A  
Host: upload.server110.com +b^]Pz5  
Host: upload.server110.com 5F2_xH$5  
Host: upload.server110.com *i^`Dw^~y  
Host: upload.server110.com H$!+A  
Host: upload.server110.com B MM--y@  
Host: www.server110.com .u l 53 m  
Host: upload.server110.com 7h%4]  
Host: upload.server110.com 8nCp\0  
Host: upload.server110.com Y25^]ON*\^  
Host: www.server110.com 8-m 3e  
Host: www.server110.com a d9CsvW  
Host: upload.server110.com RT^v:paNT2  
Host: upload.server110.com >{C\H.N  
Host: upload.server110.com /@hJpz|+   
Host: www.server110.com {CtR+4KD  
Host: upload.server110.com  B/G-Yh$E  
Host: upload.server110.com LvcuZZ`1a  
Host: www.server110.com rAb&I"\ZY  
b7HffO O  
5{K}?*3hJ  
一般系统不会默认安装tcpdump命令 ](#&.q%5!  
centos安装方法:yum install -y tcpdump 6.5wZN9<|  
debian/ubuntu安装方法:apt-get install -y tcpdump wG 1l+^p  
(CJ.BHu]  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 N2ied^* 0  
1D F/6y  
9XLFHV("  
原文地址: : =Kx/E:1  
http://www.server110.com/linux_sec/201406/10670.html wJeG(h  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
6538
云币
14612

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1457
云币
1453
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3577
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9983
云币
21863

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个