阿里云
社区时光机
发表主题 回复主题
  • 15267阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 mEsb_3?#+  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 ts9wSx~[+  
使用下面的命令,可以分析下是否在被CC攻击。
=/`]lY&  
t%%()!|)j  
F"UI=7:o  
第一条命令: se`Eez}  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' RB4 +"QUh  
N9-7YQ`D  
(:HT|gKoE  
正常的输出结果类似于这样 G}9f/$'3  
1^^8,.'  
POST /ajax/validator.php HTTP/1.1 {:|3V 7X  
POST /api_redirect.php HTTP/1.1 M/dgW` c  
GET /team/57085.html HTTP/1.1 V~ORb1  
POST /order/pay.php HTTP/1.1 6-fv<Pn  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 HE%/+mZN  
GET /static/theme/qq/css/index.css HTTP/1.1 xcU!bDV  
GET /static/js/index.js HTTP/1.1 zh*D2/ r  
GET /static/js/customize.js HTTP/1.1 _p*8ke  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 Uq$/Q7  
GET /static/js/jquery.js HTTP/1.1 9$HBKcO  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 PXkpttIE]M  
GET /static/theme/qq/css/index.css HTTP/1.1 O ~6%Iz`  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 fg3Jv*  
GET /static/js/MSIE.PNG.js HTTP/1.1 S`U8\KTi  
GET /static/js/index.js HTTP/1.1 75zU,0"j  
GET /static/js/customize.js HTTP/1.1 t`+A;%=K]  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 bo/9k 4N3  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 BB\GrD  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 Xt<1b  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 vxj:Y'}  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 &h I!mo  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 ds9 'k.  
GET /static/js/jquery.js HTTP/1.1 6]Hwr_/tk  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 ~TEn +  
正常命令结果以静态文件为主,比如css,js,各种图片。 n@RmH>"  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 Cl<!S`  
"!V`_ S;  
r)pt(*KHo  
第二条命令: SL-2^\R  
tcpdump -s0 -A -n -i any | grep  ^User-Agent %m\:AK[}  
s@@Km1w  
输出结果类似于下面: 6dR+qJa6i  
*k62Qz3  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) dX cbS<  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 1vj@ qw3  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ,<t.Iz%  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 X]p3?"7  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) gGL}FNH  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) '7sf)0\:<p  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) x2"1,1%H7  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) *v+l,z4n  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 eV|N@  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ^EX"fRwNi  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) ;rT'~?q  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 E(4c&  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 .Rk8qRB  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) _w4G|j$C  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) 9f( X7kt  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 i *.Y  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ='o3<}  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 i"0Bc{cQ  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) s Z[[ymu8  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) U.Mfu9}#:  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) B-rE8 \  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ^[x cfTN  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) &< BBP n@\  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) +M0pmK!  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 I/Vw2  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) 1n8[fgz  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) VO|ECB2e  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) RVatGa0  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) ~Kw#^.$3T  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) S\).0goOW  
6WY/[TC-  
)y,^M3$?C  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 H`CID*Ji  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 ;|5-{+2U%  
oZvG Kf  
q*3OWr  
第三条命令: 10FiA;  
tcpdump -s0 -A -n -i any | grep ^Host d&j  
UucI>E3?P{  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 :25LQf^nz  
输出结果类似于下面这样 EnM  
@Dh2@2`>  
Host: www.server110.com eO!9;dJ  
Host: www.server110.com b5NVQ8Mq  
Host: www.server110.com k7CKl;Fck  
Host: upload.server110.com ODxZO3  
Host: upload.server110.com al9wNtMT  
Host: upload.server110.com ?R)]D:`  
Host: upload.server110.com R@o&c%K"  
Host: upload.server110.com G\@pg;0|y  
Host: upload.server110.com h !^= c  
Host: upload.server110.com ;o9h|LRs  
Host: upload.server110.com @sXv5kZ:  
Host: upload.server110.com yq%5h[M  
Host: www.server110.com *jlIV$r_  
Host: upload.server110.com *&NP?-E  
Host: upload.server110.com ^e.-Ji  
Host: upload.server110.com R/+$ :  
Host: www.server110.com 3Z b]@n  
Host: www.server110.com 3 _  
Host: upload.server110.com p%Z:SZZ  
Host: upload.server110.com %j7b0pb  
Host: upload.server110.com ))"gWO  
Host: www.server110.com }|DspO  
Host: upload.server110.com ue_wuZi  
Host: upload.server110.com mJSfn"b}K  
Host: www.server110.com oW3"J6,S  
uR0UfKK  
%2\Hj0JQQ  
一般系统不会默认安装tcpdump命令 AFrJzh:V[  
centos安装方法:yum install -y tcpdump .IeO+RDQ  
debian/ubuntu安装方法:apt-get install -y tcpdump j6m;03<|  
IVR%H_uz  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 uz8LF47@:-  
>P/36'  
R_!.vGhkN  
原文地址: #EPC]jFk  
http://www.server110.com/linux_sec/201406/10670.html #{cy(&cz  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7028
云币
15485

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1463
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21872

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个