CentOS服务器简单判断CC攻击的命令

转载
所属分类: 服务器运维 2020-06-05 652
来源:baidu.com

使用下面的命令,可以分析下是否在被CC攻击。

第一条命令:

tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'

正常的输出结果类似于这样

POST /ajax/validator.php HTTP/1.1

POST /api_redirect.php HTTP/1.1

GET /team/57085.html HTTP/1.1

POST /order/pay.php HTTP/1.1

GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1

GET /static/theme/qq/css/index.css HTTP/1.1

GET /static/js/index.js HTTP/1.1

GET /static/js/customize.js HTTP/1.1

GET /ajax/loginjs.php?type=topbar& HTTP/1.1

GET /static/js/jquery.js HTTP/1.1

GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1

GET /static/theme/qq/css/index.css HTTP/1.1

正常命令结果以静态文件为主,比如css,js,各种图片。

如果是被攻击,会出现大量固定的地址,比如攻击的是首页,会有大量的“GET / HTTP/1.1”,或者有一定特征的地址,比如攻击的如果是Discuz论坛,那么可能会出现大量的“/thread-随机数字-1-1.html”这样的地址。


第二条命令:

tcpdump -s0 -A -n -i any | grep  ^User-Agent

输出结果类似于下面:

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space)

这个是查看客户端的useragent,正常的结果中,是各种各样的useragent。

大多数攻击使用的是固定的useragent,也就是会看到同一个useragent在刷屏。随机的useragent只见过一次,但是给搞成了类似于这样“axd5m8usy”,还是可以分辨出来。


第三条命令:

tcpdump -s0 -A -n -i any | grep ^Host

如果机器上的网站太多,可以用上面的命令找出是哪个网站在被大量请求

输出结果类似于下面这样

Host: www.server110.com

Host: www.server110.com

Host: www.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: upload.server110.com

Host: www.server110.com

Host: upload.server110.com


第四条命令:查看get/post完整请求信息,包括请求头head

#查看get请求:tcpdump -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'#查看post请求:tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'


一般系统不会默认安装tcpdump命令

centos安装方法:yum install -y tcpdump

debian/ubuntu安装方法:apt-get install -y tcpdump


转载于:CentOS服务器简单判断CC攻击的命令 - 为了这有限的生命 - 博客园


转载声明:本文内容、数据、图片均来自互联网,一切版权均归源网站或源作者所有。如果侵犯了你的权益,请及时联系我删除
邮箱:lennieliu_kuystar@qq.com

相关推荐

更多内容>

Linux安装libreoffice实现Excel转换成pdf

服务器运维

centos安装杀毒软件clamAV

服务器运维

Let‘s Encrypt证书申请-CAA解析

服务器运维

简单几步即可判断Linux系统有无被DDOS攻击的方法

服务器运维
点这里分享到
朋友圈