cc攻击

网站被攻击了如何处理

牧云@^-^@ 提交于 2020-03-18 15:49:45
某厂面试归来,发现自己落伍了!>>> 2020年3月中旬,我们SINE安全收到客户的安全求助,说是网站被攻击打不开了,随即对其进行了分析了导致网站被攻击的通常情况下因素分外部攻击和内部攻击两类,外部网站被攻击的因素,网站外部攻击通常情况下都是DDoS流量攻击。 DDoS攻击的手法通常情况下都是通过大批量模拟正常用户的手法去GET或POST请求占据网站服务器的大量的网络带宽资源,以实现堵塞瘫痪无法打开网站的目的,它的攻击方式通常情况下都是通过向服务器提交大量的的请求如TCP请求或SYN请求,使服务器无法承载这么多的请求包,导致用户浏览服务器和某服务的通讯无法正常连接。 CC攻击,CC通常情况下是用来攻击某脚本页面的,CC攻击的工作原理就是攻击者操纵一些主机不断地发大量的数据包给对方服务器导致网络带宽资源用尽,一直到宕机没有响应。简单的来说CC攻击就是模拟很多个用户不断地进行浏览那些需要大量的数据操作的脚本页面,也就是不断的去消耗服务器的CPU使用率,使服务器始终都有解决不完的连接一直到网站堵塞,无法正常访问网站。 内部网站被攻击的因素: 一般来说属于网站本身的原因。对于企业网站来说,这些网站被认为是用来充当门面形象的,安全和防范意识薄弱。这几乎是企业网站的常见问题。安全和防范意识大多数较弱,网站被攻击也是客观事实。更重要的是,大多数网站都为时已晚,无法摆脱攻击,对攻击的程度不够了解

用nginx日志+iptables防御CC攻击

▼魔方 西西 提交于 2020-03-02 05:30:19
攻击情况 最近被cc攻击,搞得mysql压力很大,访问速度很慢或者无法访问 看了一下nginx日志,发现日志里面$http_user_agent这个变量中总有包含“Baiduspider”这个变量。 如下图 解决思路 1.找出所有包含“Baiduspider”的ip地址 2.用iptables禁用这些地址 具体解决方法 安装redis aptitude install redis-server 跟踪分析nginx日志,把发起攻击的ip地址存放到redis中 为了拥有完整的IP地址列表,把所有的ip地址过滤出来,并存进redis中,脚本如下: tail -f /mnt/log/nginx/tuan.ganghaoyouhuo.access.log|awk { if($15 ~ /Baidu/ || $17 ~ /Baidu/) system("redis-cli zincrby black 1 "$1)} 解释一下上述脚本 首先,用tail命令跟踪分析nginx日志, 然后用管道命令,连接awk命令, 分析日志的第15或17列, 如果能匹配到/Baidu/这个关键字,就调起redis命令redis-cli, 使用zincrby方法,给找到的ip地址(nginx日志的第一列,所以是$1),记录访问记录加1. 几分钟后查看一下redis中的结果 发起攻击的IP地址已经被存到redis里了

用nginx日志+iptables防御CC攻击

大兔子大兔子 提交于 2020-03-02 04:39:16
本文介绍一个简单完整的对抗cc攻击的方法 使用软件: nginx + redis + iptables 还有少量awk命令 攻击情况 最近被cc攻击,搞得mysql压力很大,访问速度很慢或者无法访问 看了一下nginx日志,发现日志里面$http_user_agent这个变量中总有包含“Baiduspider”这个变量。 如下图 解决思路 1.找出所有包含“Baiduspider”的ip地址 2.用iptables禁用这些地址 具体解决方法 安装redis aptitude install redis-server 跟踪分析nginx日志,把发起攻击的ip地址存放到redis中 为了拥有完整的IP地址列表,把所有的ip地址过滤出来,并存进redis中,脚本如下: tail -f /mnt/log/nginx/tuan.ganghaoyouhuo.access.log|awk { if($15 ~ /Baidu/ || $17 ~ /Baidu/) system("redis-cli zincrby black 1 "$1)} 解释一下上述脚本 首先,用tail命令跟踪分析nginx日志, 然后用管道命令,连接awk命令, 分析日志的第15或17列, 如果能匹配到/Baidu/这个关键字,就调起redis命令redis-cli, 使用zincrby方法,给找到的ip地址

网站被大量CC攻击 导致网站打不开的处理解决

爷,独闯天下 提交于 2020-02-29 18:51:31
公司的官方网站从春节前无缘无故就出现连接数据库异常的现象,由于以前也出现过,再加上没多久逢年过节,也就没有太在乎这个情况,仅仅试着重新启动了网站数据库。逢年过节的时候我发现了有一些不太对,网站数据库只有一打开没多久就宕掉。检查服务器里的资源,发现服务器的内存被占满,CPU达到百分之100就连远程连接都越来越巨慢至极,因此开展对该网站被攻击的问题解决。 一开始感觉是因为Apache占有网络资源,以及CPU过大导致,网络上查了各种各样信息尝试了一上午,网站依然没有变好,只有一起动PHP环境服务,服务器内存立刻消耗殆尽。从而质疑,会不会我的服务器硬件配置太低导致的,以至于试图改成Nginx,不是称为占有网络资源最少的一个环境嘛。过后想一想为了更好地不消耗时间,立刻把运行内存从4G提升到了8G。如果是阿里云服务器须要重新启动系统才可以起效,因此又费了一上午劲把dedecms和数据库开展了自动备份。重新启动过后,打开网站服务,服务器的运行内存直接消耗殆尽,检查网络资源发觉N多Nginx还全部都是死进程。打开网站缓慢,无法连接。 再一次怀疑公司的网站服务器或者是mysql网站数据库或dedecms源代码有毛病,也许是被黑客恶意攻击了。排除问题的全过程基本上心烦到死,最先把dedecms更换,直接用一片空白html代码做首页,起动公司网站服务和网站数据库,没问题。好啊

DDoS和CC攻击的区别

坚强是说给别人听的谎言 提交于 2020-02-29 10:02:49
什么是ddos攻击?ddos攻击是分布式拒绝服务攻击,可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用。 很多人对DDoS攻击的认知和理解存在一些误区,这里我们来客观、全面地认识和了解一下DDoS攻击。 DDoS攻击不都是消耗带宽 其实DDoS攻击,不全都是以消耗攻击目标的网络带宽资源的攻击,也有消耗服务器系统资源以及应用资源的攻击。比如,SYN Flood就是为了耗尽攻击目标系统的TCP连接表资源,同等攻击流量的SYN Flood会比UDP Flood,危害更大。 DDoS攻击不都是洪水攻击 很多人通常认为DDoS攻击都是“洪水攻击”,例如:SYN Flood、UDP Flood、ACK Flood等。虽然洪水攻击占据了DDoS攻击方式中相当大的比例,但除了洪水攻击,还有一些慢速连接攻击,慢速连接攻击会缓慢而坚定的发送请求,一点一点地蚕食并长期占用目标的连接资源,这样的攻击方式同样具有威胁。 小网站也会被DDoS攻击 现在的DDoS攻击,会针对许多不同类型的企业和网站发起。DDoS攻击,亦有可能是你的竞争对手策略性地发起的。很多企业认为自己并没有什么知名度,只要不去惹事就不会被攻击者盯上,但其实规模小的网站,防护能力薄弱,更容易得手。 DDoS全称:分布式拒绝服务(Distributed Denial of Service)

Linux系统防CC攻击自动拉黑IP增强版Shell脚本 《Linux系统防CC攻击自动拉黑IP增强版Shell脚本》来自张戈博客

本小妞迷上赌 提交于 2020-01-21 20:26:41
前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个问题,但是还是想暂时取消CDN加速和防护来测试下服务器的性能优化及安全防护。 前天写的Shell脚本是加入到crontab计划任务执行的,每5分钟执行一次,今天实际测试了下,可还是可以用的,但是感觉5分钟时间有点过长,无法做到严密防护。于是稍微改进了下代码,现在简单的分享下! 一、Shell代码 Shell #!/bin/bash #Author:ZhangGe #Desc:Auto Deny Black_IP Script. #Date:2014-11-05 #取得参数$1为并发阈值,若留空则默认允许单IP最大50并发(实际测试发现,2M带宽,十来个并发服务器就已经无法访问了!) if [[ -z $1 ]];then num=50 else num=$1 fi #巧妙的进入到脚本工作目录 cd $(cd $(dirname $BASH_SOURCE) && pwd) #请求检查、判断及拉黑主功能函数 function check(){ iplist=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]

记录一次cc攻击之旅,使用ddos deflate 修改之旅

时光怂恿深爱的人放手 提交于 2019-12-28 04:14:21
故事的开篇,是在三月三十日,应该是友商攻击公司网站。 从晚上四点开始攻击,攻击网站上,还有 里面还有阿里云的ip。气愤。想投诉。 开始讲如何解决的把。首先用 netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n 尼玛卖批。哪个龟儿子一直请求这个页面。并发2800. 首先,把他ip从防火墙禁止了。 iptables -I INPUT -s 1.2.3.4 -j DROP 五条命名下去。想如何防范下一次,这种问题。 1、首先找到了ddos deflate 开源来轻微减少一点 切换超级管理员命令 wget http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate chmod 0700 install.sh //添加权限 ./install.sh //执行 安装路劲都在/usr/local/ddos/里面。 安装执行后,会自动在/etc/cron.d/里面加入一个ddos.cron 文件 这个我们就不用去管了。 2、 因为ddos.sh 会自动在把连接地址,加入白名单的行为。我觉得,如果一不小心,删除了iptables里面的DROP INPUT.会让攻击者IP 进来。我们对ddos.sh 源码做一个更改。 3

防火墙和系统安全防护和优化

梦想与她 提交于 2019-12-17 07:57:22
防火墙 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。 定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。 作用

linux CC攻击解决方法

白昼怎懂夜的黑 提交于 2019-12-04 15:27:12
linux CC攻击 1 由于不断的请求接口 导致带宽不足 然后不断的运行mysql语句 造成cpu饱和 这个时候服务器重负不堪 导致运行代码暖慢 导致入侵 一般采取的方法 http://newmiracle.cn/?p=1252 不过这些没什么用 最好方法就是不断的切换入口地址 他们就攻击不到了 来源: https://www.cnblogs.com/newmiracle/p/11871500.html