阿里云
发表主题 回复主题
  • 12485阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 4b98Ks Yg  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 rustMs2p  
使用下面的命令,可以分析下是否在被CC攻击。
o!kbK#k  
+JjW_Rl?=V  
VHIOwzC  
第一条命令: wAf\|{Vn  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' HTX?,C_  
1;Ou7T9w  
H|3:6x  
正常的输出结果类似于这样 Vf] "L .G  
{>hC~L?6  
POST /ajax/validator.php HTTP/1.1 TFlet"ge=  
POST /api_redirect.php HTTP/1.1 >0ow7Uw;  
GET /team/57085.html HTTP/1.1 t*Sa@$p  
POST /order/pay.php HTTP/1.1 1Q<^8N)pf  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 (k5We!4[1  
GET /static/theme/qq/css/index.css HTTP/1.1 I|gB@|_~  
GET /static/js/index.js HTTP/1.1 pNepC<rY  
GET /static/js/customize.js HTTP/1.1 3@dL /x4A  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 Q(wx nm  
GET /static/js/jquery.js HTTP/1.1 a_f~N1kq  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 49GkPy#]L=  
GET /static/theme/qq/css/index.css HTTP/1.1 (^T F%(H  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 J:CXW%\ <q  
GET /static/js/MSIE.PNG.js HTTP/1.1 + B B@OW  
GET /static/js/index.js HTTP/1.1 X' H[7 ^W  
GET /static/js/customize.js HTTP/1.1 {< )1q ;  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 3x{ t(  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 oHd FMD@  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 Ql/cN%^j$  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 JTO~9>$ B  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 #@YPic"n7`  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 :61Tun  
GET /static/js/jquery.js HTTP/1.1 8@i7pBl@  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 g!@<n1 L  
正常命令结果以静态文件为主,比如css,js,各种图片。 \?[v{WP)  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 ;RDh ~EV  
dP# |$1  
JD)(oK%C  
第二条命令: >7lx=T x  
tcpdump -s0 -A -n -i any | grep  ^User-Agent *"?l]d  
Tl(^  
输出结果类似于下面: {MtpkUN  
z>58dA@f  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) R;s?$;I  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Dv|#u|iw  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 :o0JY= 5  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 HePUWL'  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) %<k2#6K  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) d"}k! 0m  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Wvbf"hq  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) =5J7Hw&K  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 ?k]2*}bz  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 S>h;K`  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) <e Th  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 5's87Z;6  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 \w/yF4,3<w  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) _,p/l&<  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) pXrFljoYl[  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 AJh w  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 l==``  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 Sh/T,  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) zz+$=(T:M  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 0"kbrv2y  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) >"|B9Woc  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) (61EDKNd9  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) fKeT,U`W  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) l n{e1':$"  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 }=%oX}[  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) =Q+;=-1  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) wP6 Fl L  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) .n#@$ nGZ  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) M$y+q ^  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) !Y$h"<M  
gW^VVbB'L  
*AG#316  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 D ~stM  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 0rOfrTNOz%  
/RNIIY~w  
WlB  
第三条命令: M.x=<:upp  
tcpdump -s0 -A -n -i any | grep ^Host syWG'( >  
!ipR$ dM  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 1$D_6U:H0  
输出结果类似于下面这样 ey2S#%DF]  
o^^rJk  
Host: www.server110.com v>$'iT~l  
Host: www.server110.com {t0) q  
Host: www.server110.com W{5#@_pL  
Host: upload.server110.com }j^i}^Du,  
Host: upload.server110.com N!ls j \-  
Host: upload.server110.com q#T/  
Host: upload.server110.com eIz<)-7:  
Host: upload.server110.com 87BHq)  
Host: upload.server110.com )we}6sE"  
Host: upload.server110.com v{(^1cX  
Host: upload.server110.com b:Wm8pp?  
Host: upload.server110.com )CuZDf@  
Host: www.server110.com { vKLAxc  
Host: upload.server110.com T?x[C4wf+  
Host: upload.server110.com *]AdUEV?  
Host: upload.server110.com z`!XhU  
Host: www.server110.com J&M o%"[)  
Host: www.server110.com <R''oEf9  
Host: upload.server110.com ,eTUhK  
Host: upload.server110.com PK{acen  
Host: upload.server110.com L;*ljZ^c  
Host: www.server110.com j/fzzI0@  
Host: upload.server110.com n;@bLJ$W  
Host: upload.server110.com {U1?Et#  
Host: www.server110.com E7.2T^o;M  
_CmOd-y  
q=%RDG+  
一般系统不会默认安装tcpdump命令 ~F4fFQ-yy  
centos安装方法:yum install -y tcpdump >Db;yC&  
debian/ubuntu安装方法:apt-get install -y tcpdump DVSL [p?_  
0\[Chja  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 )TVFtI=,NN  
WU quN  
LcUh;=r}&  
原文地址: -=~| ."O  
http://www.server110.com/linux_sec/201406/10670.html d8[J@M53|T  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
6728
云币
14991

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1458
云币
1455
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9983
云币
21864

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 25 - 12 = ?
上一个 下一个