用iptables来防止web服务器被CC攻击

CC攻击比DDOS攻击更可怕的就是，CC攻击一般是硬防很难防止住的。下面是小编收集的资料，供大家参考!

为什么呢?一、因为CC攻击来的IP都是真实的，分散的;二、CC攻击的数据包都是正常的数据包;三、CC攻击的请求，全都是有效的请求，无法拒绝的请求。

1、攻击原理

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据*作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

2、攻击症状

CC攻击有一定的隐蔽*，那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定。

(1).命令行法

一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令stat-an来查看，如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了：

……TCP192.168.1.3:80192.168.1.6:2203SYN_RECEIVED4TCP192.168.1.3:80192.168.1.6:2203SYN_RECEIVED4TCP192.168.1.3:80192.168.1.6:2203SYN_RECEIVED4TCP192.168.1.3:80192.168.1.6:2203SYN_RECEIVED4TCP192.168.1.3:80192.168.1.6:2203SYN_RECEIVED4……

其中“192.168.1.6”就是被用来代理攻击的主机的IP，“SYN_RECEIVED”是TCP连接状态标志，意思是“正在处于连接的初始同步状态”，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。

(2).批处理法

上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat：

@echoofftime/t>>log.logstat-n-ptcp|find":80">>Log.lognotepadlog.logexit

上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。

(3).查看系统日志

上面的两种方法有个弊端，只可以查看当前的CC攻击，对于确定Web服务器之前是否遭受CC攻击就无能为力了，此时我们可以通过Web日志来查，因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击，并确定攻击者的IP然后采取进一步的措施。

Web日志一般在C:WINDOWSsystem32LogFilesHTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属*选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下，Web日志记录的项并不是很多，我们可以通过IIS进行设置，让Web日志记录更多的项以便进行安全分析。其*作步骤是：

“开始→管理工具”打开“Inter信息服务器”，展开左侧的项定位到到相应的Web站点，然后右键点击选择“属*”打开站点属*窗口，在“网站”选项卡下点击“属*”按钮，在“日志记录属*”窗口的“高级”选项卡下可以勾选相应的“扩展属*”，以便让Web日志进行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。

另外，如果你对安全的要求比较高，可以在“常规”选项卡下对“新日志计划”进行设置，让其“每小时”或者“每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间”。

CC攻击的严重*希望大家能够引起注意，多多提高防范意识。

• 关于用iptables来防止web服务器被CC攻击

  CC攻击比DDOS攻击更可怕的就是，CC攻击一般是硬防很难防止住的。为什么呢?一、因为CC攻击来的IP都是真实的，分散的;二、CC攻击的数据包都是正常的数据包;三、CC攻击的请求，全都是有效的请求，无法拒绝的请求。1、攻击原理CC攻击的原理...

• 怎么利用iptables来缓解和预防DDOS及CC攻击

  iptables防ddos方法实例缓解DDOS攻击#防止SYN攻击，轻量级预防iptables-Nsyn-floodiptables-AINPUT-ptcp–syn-jsyn-floodiptables-Isyn-flood-ptcp-ml...

• 用路由器防止DoS拒绝服务疯狂攻击的方法

  拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致宕机或网络瘫痪。DoS攻击主要分为Smurf、SYNFlood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包...

• 关于怎么防止IP被攻击？

  防止IP泄漏教程：黑客会采取各种手段，探测对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址，以便用户如何防范自己的IP泄漏。“IP”作为Net用户的重要标示，是黑客首先需要了...

• j2ee应用服务器和web服务器解析

  Tomcat服务器是一个免费的开放源代码的Web应用服务器。因为Tomcat技术先进、*能稳定且免费，所以深受Java爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web应用服务器。下面是关于j2ee应用服务器和web服务器，...