发表主题 回复主题
  • 11955阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 >29eu^~nh  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 x c-=;|s  
使用下面的命令,可以分析下是否在被CC攻击。
dxkXt  k  
sDCa&"6+@  
3Lq?Y7#KQp  
第一条命令: 9`)NFy?  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' n\ma5"n0=\  
Fa9]!bW  
T"Wq:  
正常的输出结果类似于这样 d `Q$URn|  
S[NV-)r=  
POST /ajax/validator.php HTTP/1.1 f$k#\=2%  
POST /api_redirect.php HTTP/1.1 KTk%N p  
GET /team/57085.html HTTP/1.1 )E^4\3 ^:  
POST /order/pay.php HTTP/1.1 EPr{1Z  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 Us YH#?|O  
GET /static/theme/qq/css/index.css HTTP/1.1 +6f5uMKUvs  
GET /static/js/index.js HTTP/1.1 q01zN:|-1  
GET /static/js/customize.js HTTP/1.1 _qmB PUx  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 g B<p  
GET /static/js/jquery.js HTTP/1.1 ;'pEzz?k"  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 FQ?H%UcW  
GET /static/theme/qq/css/index.css HTTP/1.1 5gV8=Ml"V  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 |zvxKIW;wd  
GET /static/js/MSIE.PNG.js HTTP/1.1 (>>pla^  
GET /static/js/index.js HTTP/1.1 [8SW0wsk  
GET /static/js/customize.js HTTP/1.1 m{x!uq  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 .$4DK*  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 d+ih]?  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 !HqIi@>8  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 +&a2aEXF  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 &6MGPh7T  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 ^$_ifkkLz  
GET /static/js/jquery.js HTTP/1.1 f8N  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 PQvq$|q  
正常命令结果以静态文件为主,比如css,js,各种图片。  X\ \\RCp  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 ss,t[`AV{  
klUxt?-  
ED"5y  
第二条命令: .rG Rdb  
tcpdump -s0 -A -n -i any | grep  ^User-Agent aiw~4ix  
CHWyy  
输出结果类似于下面: F>n<;<  
\ fU{$  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) tmK@Veb*a'  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) C+ r--"Z  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Fdu0?H2TL  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 MY9?957F  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) A~I}[O~(pb  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) -1S+fUkiK/  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) V[+ Pb]  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Cl<` uW3  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 %~^R Iwm  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ~LO MwMHl  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) wm*`  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 yql+N[  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 &sJpn* W  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) *[W!ng  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) +*)B;)P  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 e d4T_O;  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 "Oh-`C  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 W|D'S}J  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Iy|]U&`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) X-oou'4<  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) a2Q9tt>Q  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) vh?({A#>.E  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) b4ORDU  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 39"8Nq|e  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 VC>KW{&J0  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)  >?U (w<  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 7ou2SL}k  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) HEjV7g0E  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) a4g=cs<9}  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Sr2c'T"  
Zn #ri 8S  
JsfbY^wz  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 _QY0j%W  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 Lk#u^|Eq7=  
^>g+:?x  
K Qub%`n  
第三条命令: (X>r_4W$  
tcpdump -s0 -A -n -i any | grep ^Host I|Z5*iXqCm  
,@Ed)Zoh  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 DNki xE*  
输出结果类似于下面这样 lmr {Ib2a  
sHQe0"Eo  
Host: www.server110.com m]7yc>uDy  
Host: www.server110.com TrkoLJmB  
Host: www.server110.com mjBXa  
Host: upload.server110.com iKp4@6an  
Host: upload.server110.com L8R|\Bx  
Host: upload.server110.com !WVF{L,/I  
Host: upload.server110.com J"6_H =s   
Host: upload.server110.com ?F?!QrL  
Host: upload.server110.com + ` Em&  
Host: upload.server110.com TO( =4;U  
Host: upload.server110.com !^l<jrM  
Host: upload.server110.com *e_ /D$SC  
Host: www.server110.com w? !@fu  
Host: upload.server110.com UnW,|n8  
Host: upload.server110.com U6.$F#n  
Host: upload.server110.com ] MUuz'<  
Host: www.server110.com K +w3YA  
Host: www.server110.com H~||]_q|  
Host: upload.server110.com  g<UjB  
Host: upload.server110.com pw- C=MY]  
Host: upload.server110.com YM1@B`yWE  
Host: www.server110.com (q:L_zFj>"  
Host: upload.server110.com gR~XkU  
Host: upload.server110.com =C<_rBY  
Host: www.server110.com ZZl)p\r  
f>p;Jh{2fn  
"hs`Y4U  
一般系统不会默认安装tcpdump命令 7*@qd&  
centos安装方法:yum install -y tcpdump (zgXhx_!D  
debian/ubuntu安装方法:apt-get install -y tcpdump T-|z18|!  
3( AgUq  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 \ J9@p  
uv9cOd  
|3"'>* J  
原文地址: ir%/9=^d  
http://www.server110.com/linux_sec/201406/10670.html <K4'|HU/  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
6349
云币
14327

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1457
云币
1453
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4951
云币
16499
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3577
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9983
云币
21862

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个