什么是CC攻击?原理和防御方法有哪些?tcpdump方法判断

2019-05-0816:23:03WEB安全防护Comments3,242 views字数 1091阅读模式

 什么是CC攻击?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

关于CC攻击,这里引用百度的解释:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

至于如何防御CC攻击,可以通过禁止网站代理访问,尽量将网站做成静态页面,限制连接数量,修改最大超时时间等方法来预防解决。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

明白了CC攻击的原理和防御方法。现在首要解决的一个问题就是,如何检测服务器是否受到了CC攻击。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

下面就介绍一种方法来简单判断是否受到了CC攻击:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

tcpdump文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

定于:根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

linux系统里是不会默认安装tcpdump的。如果系统内没有安装,可以用下面的方法:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

centos安装方法:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

ubuntu/debian安装方法文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

apt-get intsall -y tcpdump

安装好后,可以用下面的命令来查看信息:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

第一条:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'

在系统中运行这一命令后,如果访问网站,一般会显示下面的结果:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

什么是CC攻击?原理和防御方法有哪些?tcpdump方法判断文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

正常命令结果以静态文件为主,比如css,js,各种图片。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/”,或者有一定特征的地址。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

第二条:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

tcpdump -s0 -A -n -i any | grep  ^User-Agent

什么是CC攻击?原理和防御方法有哪些?tcpdump方法判断
这样可以看到useragent的一些信息,比如系统、浏览器等等。在上图中,前面4个是通过firfox浏览器访问,后面是通过IE进行访问。我们可以轻易的看到这些信息。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

第三条:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

tcpdump -s0 -A -n -i any | grep ^Host

什么是CC攻击?原理和防御方法有哪些?tcpdump方法判断文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/11971.html

  • 本站内容整理自互联网,仅提供信息存储空间服务,以方便学习之用。如对文章、图片、字体等版权有疑问,请在下方留言,管理员看到后,将第一时间进行处理。
  • 转载请务必保留本文链接:https://www.cainiaoxueyuan.com/anquan/11971.html

Comment

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定