阿里云
发表主题 回复主题
  • 13366阅读
  • 10回复

Linux主机简单判断CC攻击的命令

级别: 论坛版主
发帖
3273
云币
10680
— 本帖被 元芳 从 云服务器ECS 移动到本区(2014-07-21) —
CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 &FdWFt=X  
大部分搞CC攻击的人,都是用在网上下载工具,这些工具很少去伪造特征,所以会留下一些痕迹。 |BMV.Zi  
使用下面的命令,可以分析下是否在被CC攻击。
K2_Qu't0$  
Zzua17  
;_kzcK!l  
第一条命令: <M?:  
tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' tEd.'D8 s  
p(SRjQt  
:)f7A7:;  
正常的输出结果类似于这样 {aKqXL[UP  
=64r:E  
POST /ajax/validator.php HTTP/1.1 C z#Z<:  
POST /api_redirect.php HTTP/1.1 @=S}=cl  
GET /team/57085.html HTTP/1.1 .uo.N   
POST /order/pay.php HTTP/1.1 q*jNH\|  
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 ;Z[]{SQ  
GET /static/theme/qq/css/index.css HTTP/1.1 A?5E2T1L%.  
GET /static/js/index.js HTTP/1.1 /{2*WI;  
GET /static/js/customize.js HTTP/1.1 Id'RL2Kq*&  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 x  LBQ  
GET /static/js/jquery.js HTTP/1.1 Ko>&)%))$X  
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 =]R3& ]#n  
GET /static/theme/qq/css/index.css HTTP/1.1 >M!xiQX  
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 W" "*ASi  
GET /static/js/MSIE.PNG.js HTTP/1.1 #h!*dj"  
GET /static/js/index.js HTTP/1.1 wle@v Cmr  
GET /static/js/customize.js HTTP/1.1 TOF '2&H  
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 gJt`?8t  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 iJFs0?*  
GET /static/theme/qq/css/i/logos.png HTTP/1.1 n@C~ev@%S  
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 " }gVAAvc7  
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 Dz=k7zRg"  
GET /static/theme/qq/css/i/new.gif HTTP/1.1 G}@#u9  
GET /static/js/jquery.js HTTP/1.1 PALl sGlf  
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 cR-~)UyrO  
正常命令结果以静态文件为主,比如css,js,各种图片。 PHg48Y"Nd  
如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如何是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。 3Rg}+[b  
:^ i9]  
3LR p2(A  
第二条命令: $v.C0 x  
tcpdump -s0 -A -n -i any | grep  ^User-Agent F-(dRSDNM  
jcCoan  
输出结果类似于下面: D*5hrkV9  
7z6 b@$,  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) q"KnLA(  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 1RLY $M  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 5lKJll^2:  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 gMWBu~;!  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) :vx$vZb  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) L(;WxHL  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) qpoV]#iW  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) :_<_[Y]1  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 P=N$qz$U  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 "\"DCDKmG  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) |as!Ui/J/  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 [@ <sFP;g  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 2 gq$C"  
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) -kz4FS  
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Rx07trfN  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 E! /[gZ  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 dBsX*}C  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 -b&{+= ^c  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) *F ^wtH`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) l@j.hTO<  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Uk*IpP`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) m8Vdb"0  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) h-a!q7]l  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) zr v]  
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 h+.{2^x  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) #qU-j/Qf  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) k;PAh>8  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) A$0H .F>  
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) })xp%<`  
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) <`X"}I3 ba  
Ok5<TZ6t4k  
xp'_%n~K@  
这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。 E9\vA*a  
大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。 ( GnuWc\p  
^VW PdH/Fe  
!1T\cS#1%  
第三条命令: x_=n-lAF  
tcpdump -s0 -A -n -i any | grep ^Host 6h?gs"[j  
)C(>H93  
如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求 'oNO-)p\#!  
输出结果类似于下面这样 yw[#  
mOpTzg@  
Host: www.server110.com r;9 r!$d  
Host: www.server110.com # ?1Sm/5k`  
Host: www.server110.com vr#+0:|  
Host: upload.server110.com (@X~VACT  
Host: upload.server110.com \}6;Kf}\  
Host: upload.server110.com 84HUBud76Y  
Host: upload.server110.com ~ * :F{  
Host: upload.server110.com G CRz<)1  
Host: upload.server110.com I jr\5FA[p  
Host: upload.server110.com /-zXM;h  
Host: upload.server110.com f-6vLX\Vu  
Host: upload.server110.com r`&-9"+  
Host: www.server110.com ~vLW.:  
Host: upload.server110.com sAo& uZ  
Host: upload.server110.com NW~z&8L  
Host: upload.server110.com Z UKf`m[  
Host: www.server110.com j.a`N2]WE  
Host: www.server110.com ZZ QG?("S'  
Host: upload.server110.com 9[!,c`pw  
Host: upload.server110.com iu**`WjI\  
Host: upload.server110.com [' z[  
Host: www.server110.com j Ja$a [  
Host: upload.server110.com =_j vk.  
Host: upload.server110.com _'4A|-9  
Host: www.server110.com _X ~87  
gVeEdo`$<  
%h1N3\y9i(  
一般系统不会默认安装tcpdump命令 C]^H&  
centos安装方法:yum install -y tcpdump f}guv~K  
debian/ubuntu安装方法:apt-get install -y tcpdump Cs2;z:O]  
=b;>?dP  
很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。 y@CHR  
2Q;9G6p  
XdH\OJ  
原文地址: A^Kbsc  
http://www.server110.com/linux_sec/201406/10670.html :akT 'q#  
本帖最近评分记录: 1 条评分 云币 +5
kideny 云币 +5 认真看完以后我觉得应该给你加分! 2014-07-21
本人非阿里云员工,所有言论不代表阿里云公司观点。
有偿提供:环境安装、配置、优化,数据迁移,安全加固,攻击防护,故障排除,长期代维等技术服务。
级别: 总版主
发帖
6865
云币
15212

只看该作者 沙发  发表于: 2014-06-07
好东西。。帮顶了
发帖
1459
云币
1459
只看该作者 板凳  发表于: 2014-06-08
谢谢分享
级别: 论坛版主
发帖
4952
云币
16507
只看该作者 地板  发表于: 2014-06-08
学习了。
级别: 小白
发帖
17
云币
18
只看该作者 4楼 发表于: 2014-06-08
ReLinux主机简单判断CC攻击的命令
谢谢楼主分享,有用,收藏了
级别: 技术砖家
发帖
1925
云币
3578
只看该作者 5楼 发表于: 2014-06-08
不错,支持~
级别: 小白
发帖
16
云币
15
只看该作者 6楼 发表于: 2014-06-09
ReLinux主机简单判断CC攻击的命令
不错
级别: 科学怪人
发帖
9983
云币
21864

只看该作者 7楼 发表于: 2014-07-21
认真看完以后我觉得应该给你加分!
级别: 新人
发帖
2
云币
4
只看该作者 8楼 发表于: 2015-09-08
ReLinux主机简单判断CC攻击的命令
学习了,谢谢分享
级别: 新人
发帖
5
云币
8
只看该作者 9楼 发表于: 2015-10-14
ReLinux主机简单判断CC攻击的命令
谢谢分享
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-08-19
ReLinux主机简单判断CC攻击的命令
谢谢分享  学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个