服務(wù)器被CC攻擊的癥狀以及如何檢查是否被CC攻擊

CC攻擊是 DDoS(分布式拒絕服務(wù))的一種，這種一種比DDOS流氓行為更具有技術(shù)含量的一種攻擊方式，CC攻擊完全模擬正常訪問行為，沒有虛假IP，也沒有大的流量異常，但一樣會造成您的服務(wù)器無法正常連接，一條ADSL的普通用戶發(fā)起的CC攻擊就可以干掉一臺高性能的服務(wù)器。由此可見其危害性，而由于網(wǎng)上各種工具，以及攻擊教程遍地都是，一個普通用戶都可以發(fā)起一次CC攻擊，從而讓站長防不勝防。

服務(wù)器被CC攻擊的癥狀，如何查看是否被CC攻擊：

(1).CMD命令行查看法

服務(wù)器唄CC攻擊時，會出現(xiàn)80端口關(guān)閉的現(xiàn)象，即出現(xiàn)丟包和高延遲的現(xiàn)象， 因為80端口被大量的垃圾數(shù)據(jù)堵塞導(dǎo)致正常的連接被中止?？梢酝ㄟ^在CMD命令窗口輸入命令 netstat -an 來查看，如果看到類似如下大量顯示雷同的連接記錄基本就可以被CC攻擊了：

……

TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4

TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 ……

其中“192.168.1.6”就是被用來代理攻擊的主機的IP，“SYN_RECEIVED”是TCP連接狀態(tài)標志，意思是“正在處于連接的初始同步狀 態(tài) ”，表明無法建立握手應(yīng)答處于等待狀態(tài)。這就是攻擊的特征，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的攻擊。

(2).批處理法

上述方法需要手工輸入命令且如果Web服務(wù)器IP連接太多看起來比較費勁，我們可以建立一個批處理文件，通過該腳本代碼確定是否存在CC攻擊。打開記事本鍵入如下代碼保存為CC.bat：

@echo off

time /t >>log.log

netstat -n -p tcp |find ':80'>>Log.log

notepad log.log

exit

上面的腳本的含義是篩選出當前所有的到80端口的連接。當我們感覺服務(wù)器異常是就可以雙擊運行該批處理文件，然后在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的到服務(wù)器的連接，那就基本可以確定該IP正在對服務(wù)器進行CC攻擊。

(3).查看系統(tǒng)日志

上面的兩種方法有個弊端，只可以查看當前的CC攻擊，對于確定Web服務(wù)器之前是否遭受CC攻擊就無能為力了，此時我們可以通過Web日志來 查，因為Web日志忠實地記錄了所有IP訪問Web資源的情況。通過查看日志我們可以Web服務(wù)器之前是否遭受CC攻擊，并確定攻擊者的IP然后采取進一 步的措施。

Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下，該目錄下用類似httperr1.log 的日志文件，這個文件就是記錄Web訪問錯誤的記錄。管理員可以依據(jù)日志時間屬性選擇相應(yīng)的日志打開進行分析是否Web被CC攻擊了。默認情況下，Web 日志記錄的項并不是很多，我們可以通過IIS進行設(shè)置，讓W(xué)eb日志記錄更多的項以便進行安全分析。其操作步驟是：

“開始→管理工具”打開“Internet信息服務(wù)器”，展開左側(cè)的項定位到到相應(yīng)的Web站點，然后右鍵點擊選擇“屬性”打開站點屬性窗口， 在“網(wǎng)站”選項卡下點擊“屬性”按鈕，在“日志記錄屬性”窗口的“***”選項卡下可以勾選相應(yīng)的“擴展屬性”，以便讓W(xué)eb日志進行記錄。比如其中的“發(fā) 送的字節(jié)數(shù)”、“接收的字節(jié)數(shù)”、“所用時間”這三項默認是沒有選中的，但在記錄判斷CC攻擊中是非常有用的，可以勾選。另外，如果你對安全的要求比較 高，可以在“常規(guī)”選項卡下對“新日志計劃”進行設(shè)置，讓其“每小時”或者“每***”進行記錄。為了便于日后進行分析時好確定時間可以勾選“文件命名和創(chuàng) 建使用當?shù)貢r間”。