如何用iptables来防止web服务器被CC攻击

 CC攻击比DDOS攻击更可怕的就是,CC攻击一般是硬防很难防止住的。为什么呢?一、因为CC攻击来的IP都是真实的,分散的;二、CC攻击的数据包都是正常的数据包;三、CC攻击的请求,全都是有效的请求,无法拒绝的请求。

1、攻击原理

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

2、攻击症状

CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定。

(1).命令行法

一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat -an来查看,如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了:



    

  1. ……  
    2. 

  2.  
    3. 

  3. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4  
    4. 

  4.  
    5. 

  5. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4  
    6. 

  6.  
    7. 

  7. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4  
    8. 

  8.  
    9. 

  9. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4  
    10. 

  10.  
    11. 

  11. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 …… 
    12. 



 


其中“192.168.1.6”就是被用来代理攻击的主机的IP,“SYN_RECEIVED”是TCP连接状态标志,意思是“正在处于连接的初始同步状态 ”,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的代理IP的攻击。


(2).批处理法


上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,我们可以建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat:




    

  1. @echo off  
    2. 

  2.  
    3. 

  3. time /t >>log.log  
    4. 

  4.  
    5. 

  5. netstat -n -p tcp |find ":80">>Log.log  
    6. 

  6.  
    7. 

  7. notepad log.log  
    8. 

  8.  
    9. 

  9. exit 
    10. 



 


上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件,然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接,那就基本可以确定该IP正在对服务器进行CC攻击。


(3).查看系统日志


上面的两种方法有个弊端,只可以查看当前的CC攻击,对于确定Web服务器之前是否遭受CC攻击就无能为力了,此时我们可以通过Web日志来查,因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击,并确定攻击者的IP然后采取进一步的措施。


Web日志一般在C:WINDOWSsystem32LogFilesHTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。


默认情况下,Web日志记录的项并不是很多,我们可以通过IIS进行设置,让Web日志记录更多的项以便进行安全分析。其操作步骤是:


“开始→管理工具”打开“Internet信息服务器”,展开左侧的项定位到到相应的Web站点,然后右键点击选择“属性”打开站点属性窗口,在“网站”选项卡下点击“属性”按钮,在“日志记录属性”窗口的“高级”选项卡下可以勾选相应的“扩展属性”,以便让Web日志进行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的,但在记录判断CC攻击中是非常有用的,可以勾选。


另外,如果你对安全的要求比较高,可以在“常规”选项卡下对“新日志计划”进行设置,让其“每小时”或者“每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间”。


CC攻击的严重性希望大家能够引起注意,多多提高防范意识。


文章转自 ddos软件 http://www.fkddos.com/tech/2012/0925/4.html


以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索日志

                    ,                web

                    ,                服务器

                    ,                cc254x

                    ,                属性

                    ,                web攻击

                    ,                cc++数据

                    ,                攻击

                    ,                CC攻击

                    ,                web日志

                    ,                HTTPERR

                    ,                攻击记录

                                    cc攻击代码

                                    如何防止cc攻击、抗cc攻击服务器、服务器防御cc攻击、服务器被cc攻击怎么办、服务器被cc攻击,以便于您获取更多的相关知识。
				


				
时间: 2024-10-06 19:32:48

		
		


		


	

	
	

		


		
如何用iptables来防止web服务器被CC攻击的相关文章


								

		

			

                win2003的Web服务器 防CC攻击详细图文教程
			

		

		

									

				1.攻击原理 CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止. 2.攻击症状 CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾			

		

	

				

		

			

                让Web服务器远离脚本攻击
			

		

		

									

				不少Web服务器都是架设在Windows 2003服务器系统环境中的,但是在默认状态下该服务器系统存在不少安全漏洞,许多黑客或者非法攻击者往往会充分利用这些漏洞,来攻击架设在该系统中的Web网站.为了提高Web服务器的运行安全性,我们有必要及时采取措施,防范Web服务器中的各式脚本攻击:下面,本文就为各位贡献几则让Web服务器远离脚本攻击的设置巧招,希望这些内容能帮助各位安全维护好服务器系统! 从访问权限下手,防范脚本攻击 网站访问者在访问Web服务器中的内容时,一般是通过"IUSR_SERVE			

		

	

				

		

			

                求救-网站服务器被CC攻击,导致cpu高达100%。请教高手解决方法!
			

		

		

									

				问题描述 网站服务器被CC攻击,导致cpu高达100%.请教高手解决方法! 网站服务器被CC攻击,w3pw进程超过25%导致cpu高达100%.请教高手解决方法!			

		

	

				

		

			

                如何用树莓派搭建个人 web 服务器
			

		

		

									

				个人 Web 服务器即 "云",只不过是你拥有和控制它,而不是一个大型公司. 拥有一个自己的云有很多好处,包括可定制.免费存储.免费的互联网服务.通往开源软件之路.高安全性.完全控制您的内容.快速更改的能力.实验代码的地方等等. 这些好处大部分是无法估量的,但在财务上,这些好处可以为您每个月节省超过 100 美元. Building your own web server with Raspberry Pi 我本可以选择 AWS ,但我更喜欢完全自由且安全性可控,并且我可以学一下这些东			

		

	

				

		

			

                僵尸网络利用Web服务器发起DoS攻击
			

		

		

									

				5月14日消息,据国外媒体报道,Imperva安全公司近日发现了一种发起新型DoS攻击(拒绝服务器攻击)的僵尸网络.该僵尸网络不像平常那样利用PC而是盗用Web服务器来发起DoS攻击. Imperva安全公司星期三表示,其发现了一名为"Honeypot"的Web服务器被用来发起攻击,他们顺藤摸瓜发现了一个覆盖约300部Web服务器的僵尸网络,并且这个僵尸网络以通过谷歌搜索攻击代码为基础.Imperva首席技术主管阿玛柴·舒尔曼(Amachai Shulman)表示,10年前Web服务器			

		

	

				

		

			

                Nginx服务器抵御CC攻击的相关配置讲解_nginx
			

		

		

									

				0x00 CC攻击的基本原理 CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求,如数据库查询等,导致服务器进行大量计算而很快达到自身的处理能力而形成DOS.而攻击者一旦发送请求给代理后就主动断开连接,因爲代理并不因爲客户端这边连接的断开就不去连接目标服务器.因此攻击机的资源消耗相对很小,而从目标服务器看来,来自代理的请求都是合法的. 以前防CC攻击的方法 为了防范CC,以前的方法一个是限制每个IP的连接数,这在地址范围很广阔的情况下比较难实现;二是限制代理的访问,因为一般的代理都			

		

	

				

		

			

                利用iptables来缓解和预防DDOS及CC攻击
			

		

		

									

				 iptables防ddos方法实例 缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超			

		

	

				

		

			

                linux中使用iptables缓解DDOS及CC攻击配置
			

		

		

									

				缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT  #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A I			

		

	

				

		

			

                linux使用iptables缓解DDOS及CC攻击
			

		

		

									

				缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT    #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A