专注于大流量DDOS攻击防御,各种变异CC攻击防护,是国内领先的服务器安全防御顶尖专家
当前位置:鬼影工作室 > 行业资讯 > 正文

高防服务器如何识破隐蔽的CC攻击?三个方法可确

05-22 行业资讯

 CC攻击是DDoS攻击的一种。之所以单独提出CC攻击,是因为它比其他DDoS攻击具有更高的技术含量,并且具有一定的隐蔽性,攻击者不易发现。在这种攻击中,你看不到真正的源IP,也不会发现任何异常流量,只是服务器无法正常连接。

CC攻击虽然有一定的隐蔽性,但是确认高防服务器是否遭受或已经遭受CC攻击的方法有很多,鬼影工作室一般通过以下三种方法来确认:
命令行方法
一般当Web服务器受到CC攻击时,端口80会对外界关闭,因为这个端口已经被大量垃圾数据屏蔽,正常连接已经暂停。您可以通过在命令行输入命令netstat  -an来检查它。“SYN_RECEIVED”是TCP连接状态标志,表示“处于连接的初始同步状态”,表示握手无法建立,回复正在等待。这是进攻的特点。一般有很多这样的记录,表示来自不同代理IP的攻击。
批处理方法
以上方法需要手动输入命令,如果Web服务器的IP连接太多,看起来比较困难,可以建立一个批处理文件,利用脚本代码来判断是否有CC攻击。打开记事本,输入以下代码,保存为CC.bat:
@echo  off
Time  /t大于log.log
网络统计数据包|查找“:80”大于日志。日志
记事本日志
退出
上面脚本的意思是过滤掉所有当前到端口80的连接。鬼影工作室当您觉得服务器出现异常时,可以双击运行批处理文件,然后在open  log.log文件中查看所有连接。如果同一个IP与服务器的连接比较多,基本可以确定该IP在对服务器进行CC攻击。
查看系统日志
一般Web日志位于c  : windows  system32 log  files  http  per的目录下,这里使用的是http  R1 . log这样的日志文件,鬼影工作室是Web访问错误的记录。管理员可以根据日志时间属性选择相应的日志打开,分析Web是否受到cc攻击。
默认情况下,Web日志记录的项目不多,可以通过S设置,这样可以在Web日志中记录更多的项目进行安全分析。操作步骤如下:“开始管理工具”打开“互联网信息服务器”,展开左边的项目定位对应的网站,然后右键选择“属性”打开网站属性窗口,点击“网站”选项卡下的“属性”按钮,在“日志记录属性”窗口的“高级”选项卡下勾选对应的“扩展属性”,即可记录Web日志例如“发送的字节数”, “接收的字节数”和“花费的时间”不是默认选择的,但它们在记录和判断CC攻击时非常有用,可以检查。 此外,如果您有很高的安全要求,您可以在“常规”选项卡下设置“新日志计划”,以“每小时”或“每天”记录它。为了确定未来分析的时间,请检查“使用本地时间命名和创建文件”。

版权保护: 本文由 鬼影工作室 原创,转载请保留链接: http://www.guiyingw.cn/idc/121.html