明月登楼

分享一个Linux VPS下判断是否被CC攻击的命令
当今的互联网环境下,网站被攻击几乎是个常态的存在了,明月感觉圈子里的博客站长们没有被攻击过的站长少之又少,造成这种...
扫描右侧二维码阅读全文
26
2017/12

分享一个Linux VPS下判断是否被CC攻击的命令

当今的互联网环境下,网站被攻击几乎是个常态的存在了,明月感觉圈子里的博客站长们没有被攻击过的站长少之又少,造成这种现象主要是现在实施一次针对某个域名的攻击简直就是“无门槛”,只需一个类似压力测试的客户端以及一定数量免费的代理IP即可,简单道一条狗经过人为训练都可以熟练掌握并实施的地步了。所以作为一名草根博客站长在运维自己的服务器的时候一定要多积累和学习一些基础甚至高级知识来以防不测,这点儿明月一直都在孜孜不倦的学习中……。

图片所示这种的所谓网站压力测试客户端是很多人对网站实施CC攻击的主要工具

今天明月带给大家的是使用Linux里的tcpdump命令来分析和判断当前服务器是否正在被CC攻击,这种检查分析还是很有必要的,建议各位站长们做好记录保存。

CC攻击{注1}很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。大部分搞CC攻击的人,都是用在网上下载的工具,这些工具很少去伪造特征,所以会留下一些痕迹。

使用下面的命令,可以分析下是否在被CC攻击。

第一条命令:

tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'

正常的输出结果类似于这样

POST /ajax/validator.php HTTP/1.1
POST /api_redirect.php HTTP/1.1
GET /team/57085.html HTTP/1.1
POST /order/pay.php HTTP/1.1
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1
GET /static/theme/qq/css/index.css HTTP/1.1
GET /static/js/index.js HTTP/1.1
GET /static/js/customize.js HTTP/1.1
GET /ajax/loginjs.php?type=topbar& HTTP/1.1
GET /static/js/jquery.js HTTP/1.1
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1
GET /static/theme/qq/css/index.css HTTP/1.1
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1
GET /static/js/MSIE.PNG.js HTTP/1.1
GET /static/js/index.js HTTP/1.1
GET /static/js/customize.js HTTP/1.1
GET /ajax/loginjs.php?type=topbar& HTTP/1.1
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1
GET /static/theme/qq/css/i/logos.png HTTP/1.1
GET /static/theme/qq/css/i/hot.gif HTTP/1.1
GET /static/theme/qq/css/i/brand.gif HTTP/1.1
GET /static/theme/qq/css/i/new.gif HTTP/1.1
GET /static/js/jquery.js HTTP/1.1
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1

正常命令结果以静态文件为主,比如css,js,各种图片。

如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如果是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。

第二条命令:

tcpdump -s0 -A -n -i any | grep ^User-Agent

输出结果类似于下面:

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space)
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space)
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2)
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。

大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。

第三条命令:

tcpdump -s0 -A -n -i any | grep ^Host

如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求

输出结果类似于下面这样

Host: www.server110.com
Host: www.server110.com
Host: www.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: www.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: www.server110.com
Host: www.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: www.server110.com
Host: upload.server110.com
Host: upload.server110.com
Host: www.server110.com

一般系统不会默认安装tcpdump命令

centos安装方法:yum install -y tcpdump

debian/ubuntu安装方法:apt-get install -y tcpdump

很多小白用户不懂得如何设置日志,查看日志,使用上面的命令则简单的多,复制到命令行上运行即可。

上述第三条命令真的是惊到明月了,这世界上竟然还有这么贴心的命令,哈哈,这最后一条命令对目前的明月来说简直就是“及时雨”呀,可以说是明月每天服务器运维最需要使用的命令之一,真心是赞呀!Linux威武!

强烈建议各位站长们记录今天分享的这三个命令行,真的是居家旅行必备神器呀!


  1. 攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(ChallengeCollapsar)。CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。
最后修改:2017 年 12 月 26 日 10 : 03 AM
如果觉得我的文章对你有用,请随意赞赏

26 条评论

  1. 杨小杰博客

    一般来说我的cpu100%了我就知道被攻击了

    1. 明月登楼
      @杨小杰博客

      呵呵,这个有时候也不见得的!比如瞬间达到100%,又瞬间降下来,这就可能是垃圾爬虫造成的!

  2. 懿古今

    这个很实用,已收藏

    1. 明月登楼
      @懿古今

      呵呵,多谢支持!

  3. 明月登楼

    是的,这个确实影响浏览体验!可是不知道问题出在哪了?

  4. 清雨

    我去,评论怎么提交了N次。

    1. 明月登楼
      @清雨

      是的,我在后台为了删除这些重复评论竟然出现了“重定向的次数过多。ERR_TOO_MANY_REDIRECTS”的错误提示,无语了,使用的是谷歌Chrome浏览器,好怪异,最后还是把评论标记为“待审”评论才算是删除掉!好怪异呀!费解!!!⌇●﹏●⌇

    2. 明月登楼
      @清雨

      感觉handhome的ajax评论,还是有不完善的地方!也可能是我的主机抽抽了一下!ฅ(•ﻌ•)ฅ

  5. 沈唁志

    昨天公司网站静态文件请求到另一个域名去了 好奇

    1. owen
      @沈唁志

      引用了公用文件?

      1. 明月登楼
        @owen

        啥意思?

    2. 明月登楼
      @沈唁志

      呵呵,被植入代码了吧!

  6. 趣知识

    这些人真是吃饱没事干了

    1. 明月登楼
      @趣知识

      这样的人还不少呢!

  7. 清雨

    我又来帮你反馈问题了,你站点的索索框在Chrome/Edge/IE上都罢工了,无法正常进行搜索,但是在Firefox上是正常的。不知是否是我这边的问题

    1. 明月登楼
      @清雨

      哦,我这里都正常呀!移动端和PC端都可以呀!

      1. 清雨
        @明月登楼

        你试试搜“Tpcache”、“奥尔”、“芬”这几个关键词。我这边搜这些词就不正常(瞎搜试出来的),还有部分关键词也不行。不知道你那边是不是也正常,移动端Chrome/移动端TIM内置浏览器试了也是不行的,包括WiFi和4G网络。还有主楼的“索索框”,错别字,帮我改成“搜索框”。

        1. 明月登楼
          @清雨

          你说的这几个搜索词我本来就没有,所以搜索后就不会跳转,这个可能是主题设置不同造成的~!

          1. 清雨
            @明月登楼

            正常是会转跳到一个页面提示“没有找到搜索结果,请尝试更换关键词。”的,可能像你说的是主题设置上的问题。不过不能知道搜索结果,这样的体验是不是有点不太友好?

        2. 明月登楼
          @清雨

          本来就没有的当然不会有任何提示了!我这里没有不正常的!

  8. 狂放

    学习了,不过花钱才是解决小学生的最佳方法

    1. 明月登楼
      @狂放

      对,钱能解决的就不能算是问题!

  9. 〆一缕阳光ご

    有一个问题,最后一条指令好像无法辨别当前主机绑定的二级域名!只能显示主域名!

    1. 明月登楼
      @〆一缕阳光ご

      哦,是嘛!我看看去……!
      好吧,好像确实有这个问题的!

  10. 遙望地平線盡頭

    这个指令很不错,我看应该是用抓包原理实现的!

    1. 明月登楼
      @遙望地平線盡頭

      是的,确实都是抓包实现的!

发表评论