阿里云
发表主题 回复主题
  • 16538阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 =qNZ7>Qw  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 + lNAog  
使用下面的命令,可以分析下是否在被CC攻击。
X }""= S<  
4k]DktY}.  
M3EB=tU  
第一条命令: hgU#2`fS  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' u,88V@^  
y88lkV4a  
|'SgGg=E  
正常的输出结果类似于这样 I7-6|J@#^  
F8* zG 4/&  
POST /ajax/validator.php HTTP/1.1 },& =r= B  
POST /api_redirect.php HTTP/1.1 0{k*SCN#  
GET /team/57085.html HTTP/1.1 qN@-H6D1=  
POST /order/pay.php HTTP/1.1 fnJ!~b*qo  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 8j^3_lD  
GET /static/theme/qq/css/index.css HTTP/1.1 km=d'VvnI  
GET /static/js/index.js HTTP/1.1 *B0 7-  
GET /static/js/customize.js HTTP/1.1 |WUm;o4E`U  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 6<`tb)_2~  
GET /static/js/jquery.js HTTP/1.1 rl0|)j  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 &`}8Jz=S  
GET /static/theme/qq/css/index.css HTTP/1.1 :L&d>Ii|'  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 VYAz0H1-_  
GET /static/js/MSIE.PNG.js HTTP/1.1 |\# 6?y[o  
GET /static/js/index.js HTTP/1.1 i4g99Kvl  
GET /static/js/customize.js HTTP/1.1  cq,8^o&  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 [Fo" MeH?R  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 ?]Wg{\NC6  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 ,nnVHBN  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 d~za%2{  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 T0F!0O `  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 ZL^ svGy  
GET /static/js/jquery.js HTTP/1.1 j%TcW!D-_  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 YgCSzW&(  
正常命令结果以静态文件为主,比如css,js,各种图片。 meM61ue_2  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 m@#@7[6]o  
z&W5@6")`  
ge@KopZ&  
第二条命令: Au[H!J  
tcpdump -s0 -A -n -i any | grep  ^User-Agent ]$xN`O4W{  
oH vVZ  
输出结果类似于下面: 5:6]ZFW  
Vt;!FZ  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) k2t#O%_f  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) A3cW8 OClz  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 /GDGE }  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Lr;PESV  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) H6! <y-  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) #fTPo:*t  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) C?47v4n-'  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 1}>uY  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 tMnwY'  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 d%C :%d  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) *]]C.t-cd  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 1-6[KBQ8  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 SWZA`JVK  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) yD n8{uI  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) IP e"9xb  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 hJIF!eoI  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 n>-"\cjV  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 LnY`f -H  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) [WxRwE  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 2B<0|EGtzw  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) hD I}V 1)  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) sM0o,l(5  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) ^,;AM(E  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) pS C5$a(  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 v?S~ =$.  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) x-3!sf@  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) e_{!8u.+  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) &GetRDr  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) 8fI&-uP{g  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Pu-/*Fx  
rDvz2p"R  
sHwn,4|iY  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 <GthJr>1D  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 fvUD'sx  
LtDQgel"  
ygz6 ~(  
第三条命令: 4EB&Zmg[K  
tcpdump -s0 -A -n -i any | grep ^Host *w[\(d'T  
{ylhh%t4hi  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 ED kxRfY2/  
输出结果类似于下面这样 5W29oz}-S  
5_}e?T&s  
Host: www.server110.com Q:#Kt@W  
Host: www.server110.com |y*-)t  
Host: www.server110.com yXdJ5Me(T  
Host: upload.server110.com ^ew<|J2,B  
Host: upload.server110.com .;'3Roi  
Host: upload.server110.com 5v uB87`  
Host: upload.server110.com [3#A)#kWm  
Host: upload.server110.com 't5 I%F  
Host: upload.server110.com +z2+z  
Host: upload.server110.com -#nfO*H}  
Host: upload.server110.com A,2dK}\>  
Host: upload.server110.com UOg4 E  
Host: www.server110.com c T!L+z g  
Host: upload.server110.com  / hl:p  
Host: upload.server110.com vj23j[!|  
Host: upload.server110.com =c>w  
Host: www.server110.com X@[)jWs  
Host: www.server110.com D3>;X=1  
Host: upload.server110.com ]-D;t~  
Host: upload.server110.com J}035  
Host: upload.server110.com nnZ|oEF  
Host: www.server110.com P2+Z^J`Y>  
Host: upload.server110.com l-N4RCt h  
Host: upload.server110.com 0uf'6<fR  
Host: www.server110.com N1LZXXY{  
 MR/8  
>9S@:?^&q>  
一般系统不会默认安装tcpdump命令 'kD~tpZ  
centos安装方法:yum install -y tcpdump  pzMli ^  
debian/ubuntu安装方法:apt-get install -y tcpdump Z L3aO,G2  
G(puC4 "&  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 $=? CW(  
Use`E  
5 E%dF9q  
原文地址: z'G~b[kG4n  
http://www.server110.com/linux_sec/201406/10670.html qGE?[\t[6  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
7059
云币
15530

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1463
云币
1465
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9985
云币
21873

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 65 - 41 = ?
上一个 下一个