linuxcc攻擊
① 伺服器受CC攻擊的特徵
解決CC的切入點:
1、大部分的HTTP代理伺服器代理源client向伺服器發出的數據包帶有"X-Forwarded-For"特徵。
2、針對CC攻擊非HTTP埠的時候可以通過過濾HTTP請求特有的"GET"特徵進行過濾。
3、對付CC攻擊,區別非正常連接要在代理伺服器和被攻擊的伺服器完成三次握手進行數據通訊的時候進行檢測。檢測出後要及時關閉伺服器相應的非正常連接。否則同樣可能因死連接過多造成伺服器資源枯竭。
4、限制單位時間內同一請求IP的病發連接數也不失為一種好的辦法。
5、大部分代理伺服器會向伺服器報露源請求的源IP地址,只不過這個地址經常是反的例如202.96.140.77你收到所的數據包可能變成77.140.96.202,這可能是程序員沒有將網路位元組序轉換成主機位元組序放在HTTP請求信息里所致。找出什麼IP攻擊你解決辦法要你自己想。
以上所講的不一定能幫助普通用戶解決實際問題,以下給普通用戶一些簡單的解決提示:
1、linux的iptables可以配置字元串模式匹配,也就是可以利用iptables實現 解決CC的切入點1、2。將linux配置為橋模式實現對被攻擊的非linux伺服器保護。可以參考下(用IPTables實現字元串模式匹配 作者 流雲 http://www.nsfocus.net/index.php ... =view&mid=1245)
2、很多unix防火牆都帶了限制單一ip並發數的功能。例如ipfw
3、如果是針對WEB網站攻擊可以採取一些退讓的辦法比方說域名轉向(把負載交給域名轉向服務商)。也可以通過反響代理或者dns輪詢提高web服務整體承受能力。
順便說一下:字元串匹配本身就是一個開銷很大的工作,iptables用來解決CC攻擊性能上並不是非常的出色。我可以給一些有開發能力的用戶一些提示,以上提及的關鍵字均出現在三次握手結束後的第四次數據通訊中,且均在TCP數據部分的前255bytes。解決辦法你自己視能力想去
② CC攻擊屬於DDOS攻擊嗎應該如何防禦
CC攻擊(Challenge
Collapsar)是DDOS(分布式拒絕服務)的一種,前身名為Fatboy攻擊,也是一種常見的網站攻擊方法。攻擊者通過代理伺服器或者肉雞向向受害主機不停地發大量數據包,造成對方伺服器資源耗盡,一直到宕機崩潰。
相比其它的DDOS攻擊CC似乎更有技術含量一些。這種攻擊你見不到真實源IP,見不到特別大的異常流量,但造成伺服器無法進行正常連接。最讓站長們憂慮的是這種攻擊技術含量低,利用更換IP代理工具和一些IP代理一個初、中級的電腦水平的用戶就能夠實施攻擊。
另外,防止伺服器對外傳送信息泄漏IP地址,最常見的情況是,伺服器不要使用發送郵件功能,因為郵件頭會泄漏伺服器的IP地址。如果非要發送郵件,可以通過第三方代理(例如sendcloud)發送,這樣對外顯示的IP是代理的IP地址。
只要伺服器的真實IP不泄露,10G以下小流量DDOS的預防花不了多少錢,免費的CDN就可以應付得了。如果攻擊流量超過20G,那麼免費的CDN可能就頂不住了,需要購買一個高防的盾機來應付了,而伺服器的真實IP同樣需要隱藏。
③ 如何在Linux上設置防火牆抵禦CC攻擊
java程序員,我想說,除了做手機應用開發的java程序員外,其實在大多數java軟體開發的過程中是用不到Linux知識的(不敢說絕對)。 在大多情況下,java的程序都是在window平台之上開發出來的
④ 什麼是cc攻擊如何防禦網站攻擊
簡單來說就是多台異地伺服器同時向你的項目發送請求,導致項目運行阻塞或癱瘓。在防禦方面,linux伺服器可以考慮使用web應用防火牆,或安裝雲鎖(會導致流量下降),win伺服器可以使用護衛神系列產品
⑤ linux 受到cc攻擊怎麼辦
目前最常見的攻擊類型就是DDOS和CC攻擊。如果是DDOS攻擊。建議選擇帶硬防的伺服器.通常硬防越大,防禦效果越好。被攻擊後只能換帶有防禦的伺服器來使用。如果是CC攻擊,不單純的是靠硬防來防禦,還需要機房結合攻擊的不同種類做出是等防禦策略。
⑥ linux虛擬機如何防CC
防禦CC攻擊可以通過多種方法,禁止網站代理訪問,盡量將網站做成靜態頁面,限制連接數量,修改最大超時時間等。
⑦ 在Linux下如何查CC攻擊
查看所有80埠的連接數
netstat -nat|grep -i "80"|wc -l
對連接的IP按連接數量進行排序
netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
netstat -ntu | awk '{print $5}' | egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort | uniq -c | sort -nr
查看TCP連接狀態
netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn
netstat -n | awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn
netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}'
netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}'
netstat -n | awk '/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"\t",arr[k]}'
netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c
查看80埠連接數最多的20個IP
cat /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100
tail -n 10000 /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100
cat /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100
netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A,i}' |sort -rn|head -n20
用tcpmp嗅探80埠的訪問看看誰最高
tcpmp -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20
查找較多time_wait連接
netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20
查找較多的SYN連接
netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more
linux下實用iptables封ip段的一些常見命令:
封單個IP的命令是:
iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是:
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整個段的命令是:
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封幾個段的命令是:
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
想在伺服器啟動自運行的話有三個方法:
1、把它加到/etc/rc.local中
2、iptables-save >/etc/sysconfig/iptables可以把你當前的iptables規則放到/etc/sysconfig/iptables中,系統啟動iptables時自動執行。
3、service iptables save 也可以把你當前的iptables規則放/etc/sysconfig/iptables中,系統啟動iptables時自動執行。
後兩種更好此,一般iptables服務會在network服務之前啟來,更安全。
解封的話:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了
⑧ linux 查看是否有cc攻擊
最快的就是直接聯系你的服務商,查看伺服器有沒有被攻擊,機房那邊可以看到