CC攻击可以归类为DDOS攻击之一,它们之间的原理都是一样的,就是发很多的请求数据导致服务器拒绝服务,就是一种连接攻击。但不同的是,CC攻击不仅能攻击网站,还能攻击FTP等服务器,所以有很强的危害性。那么服务器遭受CC攻击怎么判定呢?具体看下文。
CC攻击具有一定的隐蔽性,那么服务器遭受或曾遭受过CC攻击如何确定?可采用以下三种方式确定。
1.命令行法
一般遭受CC攻击时,Web服务器会出現80端口对外关掉的状况,由于这一端口早已被大量的垃圾数据阻拦了一切正常联接被停止。能够根据在命令行下键入命令Netstat-an来查看,SYN_RECIVED是TCP联接的状况标识,意味着处在联接的初期同步状况,表明不可以创建握手回应处在等候状况。这就是攻击的特性,一般状况下那样的纪录一般会有很多条,表明来源于不一样的代理商IP的攻击。
2.批处理法
如果Web服务器IP连接过多,则需要手动输入命令以上方法,可以通过脚本代码建立批处理文件来确定是否有CC攻击。当前所有连接到80端口的脚本都被筛选出来。当您感觉服务器不正常时,您可以双击操作批处理文件,然后查看所有连接在打开的log.log文件中。如果同一IP与服务器有更多的连接,基本上可以确定该IP正在攻击服务器。
3.系统日志查看
web日志一般在C:\WINDOWS\system32\LogFil\HTTPER目录下,该目录下采用类似于httperrr1.log的日志文件,该目录下的日志文件是记录Web访问错误的记录。管理员可根据日志时间属性选择相应的日志打开,分析Web是否被CC攻击。
默认情况下,web日志记录的项目并不是很多,能够根据IIS开展设定,让web日志记录大量的项目以便开展安全性剖析。其操作步骤是:起动-管理工具开启互联网信息服务器,展开左边的项目定位到相对的web网站,随后右键点击选择属性开启网站属性窗口,在网站选择卡下点击属性键,在日志记录属性键的高级选择卡下能够勾选相对的扩展属性,便于让web日志开展纪录。例如在其中的发送的字节数.接到的字节数.所用時间这三项默认设置是沒有选择的,但在纪录判断CC攻击中是十分有用的,能够勾选。此外,假如您对安全性的规定较为高,能够在常规选择卡下开展新日志计划方案,让其每钟头或每天开展纪录。以便日后开展剖析时好确定時间能够勾选文件起名和创建本地時间。
标签:
- 服务公告