CC攻擊可以歸為DDoS攻擊的一種。他們之間的原理都是一樣的�,即發(fā)送大量的請求數(shù)據(jù)來導(dǎo)致海外服務(wù)器拒絕服務(wù),是一種連接攻擊�。但不同的是�,CC攻擊不僅可以對網(wǎng)站進(jìn)行攻擊��,還可以對FTP等海外服務(wù)器進(jìn)行攻擊����,所以它具有很強(qiáng)的危害性。那么如何確定海外服務(wù)器是否遭受CC攻擊?具體請看下文���。
CC攻擊有一定的隱蔽性���,那如何確定海外服務(wù)器正在遭受或者曾經(jīng)遭受CC攻擊呢?可以通過以下三個方法來確定。
1��、命令行法
一般遭受CC攻擊時����,Web海外服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象,因為這個端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了�?�?梢酝ㄟ^在命令行下輸入命令netstat-an來查看�,SYN_RECEIVED是TCP連接狀態(tài)標(biāo)志,意思是正在處于連接的初始同步狀態(tài)��,表明無法建立握手應(yīng)答處于等待狀態(tài)。這就是攻擊的特征��,一般情況下這樣的記錄一般都會有很多條����,表示來自不同的代理IP的攻擊。
2����、批處理法
上述方法需要手工輸入命令且如果Web海外服務(wù)器IP連接太多看起來比較費勁,可以建立一個批處理文件��,通過該腳本代碼確定是否存在CC攻擊�。
腳本篩選出當(dāng)前所有的到80端口的連接。當(dāng)感覺海外服務(wù)器異常時就可以雙擊運行該批處理文件����,然后在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的海外服務(wù)器的連接���,那就基本可以確定該IP正在對海外服務(wù)器進(jìn)行CC攻擊�����。
3�、查看系統(tǒng)日志
web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下,該目錄下用類似httperr1.log的日志文件�,這個文件就是記錄Web訪問錯誤的記錄。管理員可以依據(jù)日志時間屬性選擇相應(yīng)的日志打開進(jìn)行分析是否Web被CC攻擊了�。
默認(rèn)情況下,web日志記錄的項并不是很多�,可以通過IIs進(jìn)行設(shè)置,讓web日志記錄更多的項以便進(jìn)行安全分析����。其操作步驟是:開始-管理工具打開Internet信息海外服務(wù)器,展開左側(cè)的項定位到相應(yīng)的Web站點�����,然后右鍵點擊選擇屬性打開站點屬性窗口���,在網(wǎng)站選項卡下點擊屬性按鈕�����,在日志記錄屬性窗口的高級選項卡下可以勾選相應(yīng)的擴(kuò)展屬性���,以便讓W(xué)eb日志進(jìn)行記錄。比如其中的發(fā)送的字節(jié)數(shù)�、接收的字節(jié)數(shù)、所用時間這三項默認(rèn)是沒有選中的�����,但在記錄判斷CC攻擊中是非常有用的���,可以勾選��。另外�����,如果你對安全的要求比較高���,可以在常規(guī)選項卡下對新日志計劃進(jìn)行設(shè)置,讓其每小時或者每一天進(jìn)行記錄��。為了方便日后進(jìn)行分析時好確定時間可以勾選文件命名和創(chuàng)建使用當(dāng)?shù)貢r間�����。
網(wǎng)站資訊
渠道合作
解決方案
更多服務(wù)
