【內(nèi)容聲明】本文收集整理于互聯(lián)網(wǎng),不確保內(nèi)容真實性和質(zhì)量度,僅供參考!若有服務(wù)器產(chǎn)品相關(guān)問題,請咨詢[YINGSOO]在線客服,獲取專業(yè)解答!

　　【推薦產(chǎn)品】YINGSOO丨國際專線丨香港百兆服務(wù)器丨香港云服務(wù)器租用

　　【精選文章】電影網(wǎng)站的海外服務(wù)器配置怎么選？丨使用國外服務(wù)器的網(wǎng)站頁面會被百度收錄嗎？

　　服務(wù)器受到大流量攻擊？新式高防技術(shù)，替身式防御，具備1.5Tbps高抗D+流量清洗功能，無視DDoS,CC攻擊，不用遷移數(shù)據(jù)，隱藏源服務(wù)器IP，只需將網(wǎng)站解析記錄修改為DDoS高防IP，將攻擊引流至集群替身高防服務(wù)器，是攻擊的IP過濾清洗攔截攻擊源，正常訪問的到源服務(wù)器，保證網(wǎng)站快速訪問或服務(wù)器穩(wěn)定可用，接入半小時后，即可正式享受高防服務(wù)。

　　黑龍江省公安廳交警總隊于今年3月份在互聯(lián)網(wǎng)擴(kuò)大選號范圍，增加備選號池號段的時候。通過安全防御系統(tǒng)發(fā)現(xiàn)互聯(lián)網(wǎng)機(jī)動車選號系統(tǒng)受到CC攻擊和WEB非法訪問，造成網(wǎng)絡(luò)擁擠，嚴(yán)重威脅網(wǎng)絡(luò)安全，可能影響選號的公平公正。隨后，省交警總隊主動暫?；ヂ?lián)網(wǎng)選號系統(tǒng)。

　　近年來，DDoS攻擊勢頭愈演愈烈，其中最麻煩的攻擊手段當(dāng)選CC攻擊。下面云師哥給大家祥細(xì)講講什么是CC攻擊，CC有什么攻擊類型，怎么判斷自己在被CC攻擊。

　　什么是CC攻擊?

　　CC攻擊是 DDOS(分布式拒絕服務(wù)) 的一種，DDoS是針對IP的攻擊，而CC攻擊的是網(wǎng)頁。

　　CC攻擊來的IP都是真實的，分散的。數(shù)據(jù)包都是正常的數(shù)據(jù)包，攻擊的請求全都是有效的請求，無法拒絕的請求。服務(wù)器可以連接，但是網(wǎng)頁就是訪問不了，也見不到特別大的異常流量，但是持續(xù)時間長，仍能造成服務(wù)器無法進(jìn)行正常連接，危害更大。

　　CC攻擊也是一種常見的網(wǎng)站攻擊方法，攻擊者通過代理服務(wù)器或者肉雞(僵尸電腦)向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包，造成對方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。

　　CC攻擊的類型

　　CC攻擊的種類有四種，直接攻擊，僵尸網(wǎng)絡(luò)攻擊，代理攻擊，肉雞攻擊。

　　1，直接攻擊

　　主要針對有重要缺陷的 WEB 應(yīng)用程序，一般說來是程序?qū)懙挠袉栴}的時候才會出現(xiàn)這種情況，比較少見。

　　2，僵尸網(wǎng)絡(luò)攻擊

　　有點(diǎn)類似于 DDOS 攻擊了，從 WEB 應(yīng)用程序?qū)用嫔弦呀?jīng)無法防御。

　　3，代理攻擊

　　代理攻擊是黑客借助代理服務(wù)器生成指向受害主機(jī)的合法網(wǎng)頁請求，實現(xiàn)DOS和偽裝。

　　4，肉雞攻擊

　　一般指黑客使用CC攻擊軟件，控制大量肉雞發(fā)動攻擊，相比代理攻擊更難防御，因為肉雞可以模擬正常用戶訪問網(wǎng)站的請求，偽造成合法數(shù)據(jù)包。YINGSOO熱線：400-630-3752

　　怎么判斷自己在被CC攻擊?

　　如果CC攻擊你網(wǎng)站打不開，指定會有一種資源耗盡，才會引發(fā)網(wǎng)站打不開，打開卡。

　　可自行判斷一下，是下列四種情況中的哪一種。

　　1，耗Cpu資源

　　黑客用1萬臺肉雞，刷新你網(wǎng)站動態(tài)頁面，如果你程序不夠健壯，cpu直接100%。

　　2，耗內(nèi)存資源

　　黑客只要刷新你動態(tài)頁面中搜索數(shù)據(jù)庫的內(nèi)容，只要搜索量一大，內(nèi)存占滿。網(wǎng)站直接打不開或者是非常卡。

　　3，耗I/o資源

　　黑客找到上傳文件，或者是下載文件的頁面，在不停的上傳與下載，磁盤資源點(diǎn)滿。

　　4，耗帶寬資源

　　下面這個帶寬接10G，攻擊上來2G，能看流量占用多少，如果流量占滿了，服務(wù)器直接掉包，掉線。網(wǎng)站一點(diǎn)都打不開。

　　如果自己主機(jī)上不去，你可以問運(yùn)營商要流量圖，機(jī)房都有流量圖的。

　　服務(wù)器受到大流量攻擊，面對來勢洶洶的CC攻擊，其實最好的方式還是選擇第三方的云安全廠商(就像我們)來解決問題。

　　我們敢說，我們防CC在業(yè)界非常具有優(yōu)勢!

　　早上接到IDC的電話，說我們的一個網(wǎng)段IP不停的向外發(fā)包，應(yīng)該是被攻擊了，具體哪個IP不知道，讓我們檢查一下。

　　按理分析及解決辦法

　　首先我們要先確定是哪臺機(jī)器的網(wǎng)卡在向外發(fā)包，還好我們這邊有zabbix監(jiān)控，我就一臺一臺的檢查，發(fā)現(xiàn)有一臺的流量跑滿了，問題應(yīng)該出現(xiàn)在這臺機(jī)器上面。

　　我登錄到機(jī)器里面，查看了一下網(wǎng)卡的流量，我的天啊，居然跑了這個多流量。

　　這臺機(jī)器主要是運(yùn)行了一個tomcat WEB服務(wù)和oracle數(shù)據(jù)庫，問題不應(yīng)該出現(xiàn)在WEB服務(wù)和數(shù)據(jù)庫上面，我檢查了一下WEB日志，沒有發(fā)現(xiàn)什么異常，查看數(shù)據(jù)庫也都正常，也沒有什么錯誤日志，查看系統(tǒng)日志，也沒有看到什么異常，但是系統(tǒng)的登錄日志被清除了，

　　我趕緊查看了一下目前運(yùn)行的進(jìn)程情況，看看有沒有什么異常的進(jìn)程，一查看，果然發(fā)現(xiàn)幾個異常進(jìn)程，不仔細(xì)看還真看不出來，這些進(jìn)程都是不正常的。

　　這是個什么進(jìn)程呢，我每次ps -ef都不一樣，一直在變動，進(jìn)程號一一直在變動中，我想看看進(jìn)程打開了什么文件都行，一時無從下手，想到這里，我突然意識到這應(yīng)該都是一些子進(jìn)程，由一個主進(jìn)程進(jìn)行管理，所以看這些子進(jìn)程是沒有用的，即便我殺掉他們還會有新的生成，擒賊先擒王，我們?nèi)フ乙幌轮鬟M(jìn)程，我用top d1實時查看進(jìn)程使用資源的情況，看看是不是有異常的進(jìn)程占用cpu內(nèi)存等資源，發(fā)現(xiàn)了一個奇怪的進(jìn)程，平時沒有見過。這個應(yīng)該是我們尋找的木馬主進(jìn)程。

　　我嘗試殺掉這個進(jìn)程，killall -9 ueksinzina，可是殺掉之后ps -ef查看還是有那些子進(jìn)程，難道沒有殺掉?再次top d1查看，發(fā)現(xiàn)有出現(xiàn)了一個其他的主進(jìn)程，看來殺是殺不掉的，要是那么容易殺掉就不是木馬了。

　　我們看看他到底是什么，”which obgqtvdunq”發(fā)現(xiàn)這個命令在/usr/bin下面，多次殺死之后又重新在/usr/bin目錄下面生成，想到應(yīng)該有什么程序在監(jiān)聽這個進(jìn)程的狀態(tài)也可能有什么定時任務(wù)，發(fā)現(xiàn)進(jìn)程死掉在重新執(zhí)行，我就按照目前的思路查看了一下/etc/crontab定時任務(wù)以及/etc/init.d啟動腳本，均發(fā)現(xiàn)有問題。

　　可以看到里面有個定時任務(wù)gcc4.sh，這個不是我們設(shè)定的，查看一下內(nèi)容更加奇怪了，這個應(yīng)該是監(jiān)聽程序死掉后來啟動的，我們這邊把有關(guān)的配置全部刪掉，并且刪掉/lib/libudev4.so。

　　在/etc/init.d/目錄下面也發(fā)現(xiàn)了這個文件。

　　里面的內(nèi)容是開機(jī)啟動的信息，這個我們也給刪掉。

　　以上兩個是一個在開機(jī)啟動的時候啟動木馬，一個是木馬程序死掉之后啟動木馬，但是目前我們殺掉木馬的時候木馬并沒有死掉，而是立刻更換名字切換成另一個程序文件運(yùn)行，所以我們直接殺死是沒有任何用處的，我們目的就是要阻止新的程序文件生成，首先我們?nèi)∠绦虻膱?zhí)行權(quán)限并把程序文件成成的目錄/usr/bin目錄鎖定。

　　chmod 000 /usr/bin/obgqtvdunq

　　chattr +i /usr/bin

　　然后我們殺掉進(jìn)程”killall -9 obgqtvdunq”，然后我們在查看/etc/init.d/目錄，看到他又生成了新的進(jìn)程，并且目錄變化到了/bin目錄下面，和上面一樣，取消執(zhí)行權(quán)限并把/bin目錄鎖定，不讓他在這里生成，殺掉然后查看他又生成了新的文件，這次他沒有在環(huán)境變量目錄里面，在/tmp里面，我們把/tmp目錄也鎖定，然后結(jié)束掉進(jìn)程。

　　到此為止，沒有新的木馬進(jìn)程生成，原理上說是結(jié)束掉了木馬程序，后面的工作就是要清楚這些目錄產(chǎn)生的文件，經(jīng)過我尋找，首先清除/etc/init.d目錄下面產(chǎn)生的木馬啟動腳本，然后清楚/etc/rc#.d/目錄下面的連接文件。

　　后來我查看/etc目錄下面文件的修改時間，發(fā)現(xiàn)ssh目錄下面也有一個新生成的文件，不知道是不是有問題的。

　　關(guān)鍵詞：服務(wù)器受到大流量攻擊,服務(wù)器受到攻擊

　　YINGSOO有著經(jīng)驗豐富的技術(shù)團(tuán)隊和完善的售后支持，客服人員全年無休，7*24小時全天候待命，只要您有需求和疑問，客服能在最短的時間內(nèi)答復(fù)您，不會讓您長時間等待。全國統(tǒng)一服務(wù)熱線：400-630-3752

　　YINGSOO有試用的日本主機(jī)嗎_低至148元/月_注冊領(lǐng)代金券

　　穩(wěn)定,性價比超高,按需配置購買,滿足不同需求,有試用的日本主機(jī)嗎免備案,高級DDOS防護(hù),專業(yè)數(shù)據(jù)災(zāi)備方案,24小時貼心服務(wù)有試用的日本主機(jī)嗎.

　　http://www.sddonglingsh.com/products/cloud-jp.html

　　YINGSOO免備案美國主機(jī)_免費(fèi)CC防御流量_無需備案

　　免備案美國主機(jī)美國vps超寬國際出口 , 一手資源 , 重裝系統(tǒng) , 10MB獨(dú)享帶寬 ,在線有重啟 , 無極網(wǎng)絡(luò) , 高速穩(wěn)定,年付8.3折優(yōu)惠

　　http://www.sddonglingsh.com/products/cloud-us.html

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。