应急CC攻击排查(Linux环境)

最新推荐文章于 2024-01-13 13:16:08 发布
最新推荐文章于 2024-01-13 13:16:08 发布
阅读量672 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun8890446/article/details/103489198
版权

CC攻击就是利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭造成拒绝服务。那么如何判断查询CC攻击呢?

本文主要介绍了一些Linux下判断CC攻击的命令。

查看所有80端口的连接数

netstat -nat|grep -i "80"|wc -l

对连接的IP按连接数量进行排序

netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | awk '{print $5}' | egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort | uniq -c | sort -nr

查看TCP连接状态

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}'

netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}'

netstat -n | awk '/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"\t",arr[k]}'

netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c

查看80端口连接数最多的20个IP

cat /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

tail -n 10000 /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

cat /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A,i}' |sort -rn|head -n20

用tcpdump嗅探80端口的访问看看谁最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20

查找较多的SYN连接

netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more

linux下实用iptables封ip段的一些常见命令:

封单个IP的命令是:

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是:

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是:

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是:

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

devi1.
关注
【经验分享】嵌入式C语言开发如何有效地排查内存泄露的疑难问题?
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
09-13 2万+
在嵌入式开发中,相信大家都遇到过内存泄露这类疑难问题,你的排查方法和解决思路是怎么样的呢?本文将给大家分享一种我个人常用的一种方法,这个方法看似很“挫”,but it works well !
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1297
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
网站遭遇CC及DDOS攻击紧急处理方案
reblue520的专栏
03-04 824
检测访问是否是CC攻击的命令: 80口为网站的访问端口,可以根据实际情况进行修改 # netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":")...
Linux攻击排查
YangLuxxx123
06-23 1416
入侵排查 1.2 历史命令 1.3 检查端口 1.4 检查异常进程 1.5 检查卡机启动项 运行级别 含义 0 关机 1 单用户模式,可以想象为windows的安全模式,主要用于系统修复 2 不完全的命令行模式,不含NFS服务 3 完全的命令行模式,就是标准字符界面 4 系统保留 5 图形模式 6 重启动 查看运行状态 入侵排查 1.6 检查定时任务 [linux下crontab与anacrontab的使用 ]crond 常用参数anacron 异步定时
linux cc攻击
mofiu的博客
03-20 2393
什么是CC攻击? CC攻击就是利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭造成拒绝服务。那么如何判断查询CC攻击呢? 本文主要介绍了一些Linux下判断CC攻击的命令。 查看所有80端口的连接数 netstat -nat|grep -i “80”|wc -l 对连接的IP按连接数量进行排序 netstat -anp | grep ‘tcp|udp’ | a...
记一次公司服务器遭受CC攻击防御的应急记录
云深海阔专栏
02-18 9557
事件背景: 公司服务部署框架因redis瓶颈,cc攻击导致资源全部被占用,APP几乎打不开 处理过程 一、因亚马逊服务就开启了cloudfront服务,结果因cloudfront是国外的CDN服务在国内不兼用,结果打开翻墙才能用,否则不行 二、在nginx上配置 http { limit_req_zone $binary_remote_addr zone=one:10m rat...
Linux应急响应排查脚本
0xff
11-23 970
#!/bin/bash date=$(date +%Y%m%d) ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}') check_file="/tmp/xxxxx_${ipadd}_${date}/check_file/" danger_file="/tmp/xxxxx_${ipadd}_${date}/danger_file.txt" log_file="/tmp/xxxxx_${ipadd}_${
应急响应流程以及入侵排查
renyizou的博客
01-14 5889
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
应急响应基础笔记(二)——应急响应之Linux入侵排查
haha1314的博客
11-14 673
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
Linux系统中,如何进行账号安全检查和排查可能的入侵行为?请提供相关的检查命令和步骤。
最新发布
10-26
参考资源链接:[Linux服务器应急响应:入侵排查与安全策略](https://wenku.csdn.net/doc/64685cc05928463033db709c?spm=1055.2569.3001.10343) 首先,检查账号安全时,我们需要关注用户信息文件`/etc/passwd`,...
linux CC攻击
newmiracle学习天地
02-22 1186
linux CC攻击 不断的请求接口 导致带宽不足 然后 mysql语句 不断的运行 cpu饱和 这个时候服务器重负不堪 导致运行代码暖慢 导致入侵查看原文:http://newmiracle.cn/?p=1257
Linux 攻击防护基础排查
weixin_30622107的博客
05-20 394
作者:Zzang 来源:cnblogs 原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html 版权声明:本文为博主原创文章,转载请附上博文链接! 基本网络拓扑图 1. 准备阶段。配置云主机,模拟简单的ssh登录爆破入侵行为 步骤一:登录阿里云管理控制台。打开云主机。 步骤二:打开VMware,将kali虚拟机的网卡模式设置为NAT,...
排查Linux服务器是否被入侵步骤
rendongxingzhe的博客
11-22 1645
Linux操作系统安全,排查Linux服务器是否被入侵步骤
服务器遭受cc攻击的处置策略
xiaoyiandun的博客
02-01 454
使用弹性云服务:使用弹性云服务,例如Amazon Web Services(AWS),以减少攻击对您的服务器的影响。需要注意的是,预防CC攻击是一项复杂的任务,因此最好寻求专业人员的帮助以确保服务器的安全。使用CDN服务:使用内容分发网络(CDN)服务,以分散流量并减少攻击对您的服务器的影响。请注意,预防CC攻击是一项复杂的任务,因此,建议寻求专业人员的帮助以确保服务器的安全。安装防护软件:安装防护软件,例如防护DDoS攻击的软件,以防止未来的攻击
如何判断自己服务器是否被CC攻击
m0_67776192的博客
04-21 3231
很多时候,发现自己网站特别的慢,甚至经常502,一般来说是被CC攻击了。那么怎么才能判断是否被CC攻击了呢 这里利用指令: netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 返回结果: LAST_ACK 14 SYN_RECV 348 ESTABLISHED 70 FIN_WAIT1 229 FIN_WAIT2 30 CLOSING 33 TIME_WAIT 18122 其中可以重点观察: SYN
全国(山东、安徽)职业技能大赛--信息安全管理与评估——XSC3-Windows应急响应题目+WP+环境
人若无名,便可专心练剑
01-13 374
保护数据,捍卫安全,展现技能,赢得荣耀!全国职业技能大赛-信息安全与评估大赛,挑战你的技术,揭示黑客的秘密!加入我们,成为信息安全的守护者!
Linux环境入侵应急排查
流浪法师的博客
02-21 266
Linux环境入侵应急排查
ddos应急处理_网站遭遇CC及DDOS攻击紧急处理方案
weixin_39964391的博客
12-20 299
检测访问是否是CC攻击的命令:80口为网站的访问端口,可以根据实际情况进行修改# netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END...
linux服务器遭受攻击后对系统检查和安全防范
kevin_LCC的专栏
11-13 1217
linux服务器遭受攻击后对系统检查和安全防范:检查的时候可以参考另一台正常的备机 1. w   /  last   查看并锁定异常用户    passwd  -l    用户  ----锁定           passwd  -u    用户     ---解锁 2. ps auxwww | more         ----查看所有进程    top
Linux主机简单判断CC攻击的命令
suyancc的博客
07-26 322
Linux主机简单判断CC攻击的命令 CC攻击很容易发起,并且几乎不需要成本,导致现在的CC攻击越来越多。 大部分搞CC攻击的人,都是用在网上下载的工具,这些工具很少去伪造特征,所以会留下一些痕迹。 使用下面的命令,可以分析下是否在被CC攻击。 第一条命令: tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*' 正常的输出结果类似于这样 POST /ajax/validator.PHP HTTP/1.1 POST /api_redirect
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

devi1.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值