使用下面的命令,可以分析下是否在被cc攻擊。
第一條命令:
tcpdump -s0 -a -n -i any | grep -o -e '(get|post|head) .*
'
正常的輸出結果類似於這樣
正常命令結果以靜態檔案為主,比如css,js,各種。
如果是被攻擊,會出現大量固定的位址,比如攻擊的是首頁,會有大量的「get / http/1.1」,或者有一定特徵的位址,比如攻擊的如果是discuz論壇,那麼可能會出現大量的「/thread-隨機數字-1-1.html」這樣的位址。
第二條命令:
tcpdump -s0 -a -n -i any | grep ^user-agent
輸出結果類似於下面:
user-agent: mozilla/5.0 (compatible; msie 9.0; windows nt 6.1; trident/5.0)
user-agent: mozilla/5.0 (compatible; msie 9.0; windows nt 6.1; trident/5.0)
user-agent: mozilla/5.0 (compatible; msie 9.0; windows nt 6.1; trident/5.0)
user-agent: mozilla/5.0 (compatible; msie 9.0; windows nt 6.1; trident/5.0)
user-agent: mozilla/5.0 (compatible; msie 9.0; windows nt 6.1; trident/5.0)
user-agent: mozilla/5.0 (compatible; msie 9.0; windows nt 6.1; trident/5.0)
user-agent: mozilla/4.0 (compatible; msie 7.0; windows nt 5.1; trident/4.0; .net clr 2.0.50727; 360space)
這個是檢視客戶端的useragent,正常的結果中,是各種各樣的useragent。
大多數攻擊使用的是固定的useragent,也就是會看到同乙個useragent在刷屏。隨機的useragent只見過一次,但是給搞成了類似於這樣「axd5m8usy」,還是可以分辨出來。
第三條命令:
tcpdump -s0 -a -n -i any | grep ^host
如果機器上的**太多,可以用上面的命令找出是哪個**在被大量請求
輸出結果類似於下面這樣
host: www.server110.com
host: www.server110.com
host: www.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: upload.server110.com
host: www.server110.com
host: upload.server110.com
一般系統不會預設安裝tcpdump命令
centos安裝方法:yum install -y tcpdump
debian/ubuntu安裝方法:apt-get install -y tcpdump
centos搭建svn伺服器簡單流程
安裝svn yum install y svn建立乙個目錄svn服務端目錄 mkdir p opt repos svnadmin create opt repos目錄下的檔案和目錄列表 ll opt repos conf db format hooks locks readme.txt新增使用者 v...
centos 搭建SVN伺服器簡單流程
yum y install subversion mkdir p work svn cd work svn 建立版本庫 svnadmin create test 增加使用者名稱 密碼 vim test conf passwd users manhelp 123456 增加使用者分組和認證 vim t...
判斷伺服器型別
開發時一般用tomcat,然後在測試環境發布時使用的是weblogic。對於頁面提交,使用了jquery的form的submit,出現了weblogic通過request獲得方式顯示正常而tomcat出現亂碼的情況。所以需要對不同伺服器進行不同處理。對於jquery的ajax的方式,需要在前端拼接帶...