如何用iptables来防止web服务器被CC攻击

CC攻击比DDOS攻击更可怕的就是,CC攻击一般是硬防很难防止住的。为什么呢?一、因为CC攻击来的IP都是真实的,分散的;二、CC攻击的数据包都是正常的数据包;三、CC攻击的请求,全都是有效的请求,无法拒绝的请求。

1、攻击原理

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

2、攻击症状

CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定。

(1).命令行法

一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat -an来查看,如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了:

  1. ……
  2. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
  3. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
  4. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
  5. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
  6. TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 ……

其中“192.168.1.6”就是被用来代理攻击的主机的IP,“SYN_RECEIVED”是TCP连接状态标志,意思是“正在处于连接的初始同步状态 ”,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的代理IP的攻击。

(2).批处理法

上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,我们可以建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat:

  1. @echo off
  2. time /t >>log.log
  3. netstat -n -p tcp |find ":80">>Log.log
  4. notepad log.log
  5. exit

上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件,然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接,那就基本可以确定该IP正在对服务器进行CC攻击。

(3).查看系统日志

上面的两种方法有个弊端,只可以查看当前的CC攻击,对于确定Web服务器之前是否遭受CC攻击就无能为力了,此时我们可以通过Web日志来查,因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击,并确定攻击者的IP然后采取进一步的措施。

Web日志一般在C:WINDOWSsystem32LogFilesHTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下,Web日志记录的项并不是很多,我们可以通过IIS进行设置,让Web日志记录更多的项以便进行安全分析。其操作步骤是:

“开始→管理工具”打开“Internet信息服务器”,展开左侧的项定位到到相应的Web站点,然后右键点击选择“属性”打开站点属性窗口,在“网站”选项卡下点击“属性”按钮,在“日志记录属性”窗口的“高级”选项卡下可以勾选相应的“扩展属性”,以便让Web日志进行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的,但在记录判断CC攻击中是非常有用的,可以勾选。

另外,如果你对安全的要求比较高,可以在“常规”选项卡下对“新日志计划”进行设置,让其“每小时”或者“每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间”。

CC攻击的严重性希望大家能够引起注意,多多提高防范意识。

文章转自 ddos软件 http://www.fkddos.com/tech/2012/0925/4.html

(0)

相关推荐

  • 利用iptables来缓解和预防DDOS及CC攻击

    iptables防ddos方法实例 缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn ...

  • linux系统的Web服务器集成vsftp的方法

    昨天我们写了一篇《linux下配置web+ftp服务器全教程(一) 》说完了Web服务器的安装全过程,今天我们继续说下在apahce服务器上集成vsftp,以及apache和vsftp虚拟账户的权限配 ...

  • Kangle(Web服务器)如何安装及防盗链功能设置

    一、Kangle软件简介: kangle web服务器(简称:kangle)是一款跨平台、功能强大、安全稳定、易操作的高性能web服务器和反向代理服务器软件。除此:kangle也是一款专为做虚拟主机研 ...

  • Win7下搭建web服务器实现数据共享的简单步骤

    Web服务器的使用,让用户们实现了局域网内资源的共享,利用Web服务器,用户可以将自己的信息上传到服务器端,不仅实现了共享,而且还有效地达到信息的同步,是一个不错的信息平台。那么在windows7系统 ...

  • Linux上架设支持JSP+PHP的Web服务器

    近年来Linux在服务器市场占有比例日渐攀升,除了缘于Linux的免费和安全性之外,还因为Linux上的应用服务日益丰富。大部分常见的服务都在Linux上有了较好的解决方案。而对于Intenet上应用 ...

  • FreeBSD WEB服务器架设笔记

    系统安装、升级、内核定制 FreeBSD 5.2.1 RELEASE Mysql 4.0 Apache 2.0.50 PHP 4.3.8 Pure Ftpd 1.0.20 一、系统安装 系统安装选择s ...

  • Linux下Web服务器架设攻略

    今天我们来看看如何将Web服务器架在Linux系统下。 LINUX系统中常见的有:CERN、NCSA、Apache三种方式,一般最常用的方法就是用Apache。此种方式特点明显,配置简明,具有最大的 ...

  • 解决安装Domino for Linux时配置的Web服务器无法启动的问题

    环境: 产品: Lotus Domino for Linux 平台: Linux 版本: Lotus Domino for Linux 5.0.x 问题 : 安装Domino for Linux ...

  • 使用Apache&花生壳架设Web服务器

    这里讲的是IIS服务器,其实花生壳在Apache下也能正常使用,这一点我在以前的帖子中已经讲过,现在专门把Apache的配置作一详细说明: 首先:当然是下载Apache啦,Apache目前最新的Win ...