檢測訪問是否是CC攻擊的命令：

80口為網站的訪問端口，可以根據實際情況進行修改


# netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20?

如改成8888
netstat -anlp|grep 8888|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:8888/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20?


找出訪問比較多的IP，IP地址為荷蘭(明顯不是企業所在地，直接封堵)
6 139.162.153.143
3 139.162.218.121

對可疑IP進行封堵

封網段
iptables -I INPUT -s 139.162.153.143/16 -j DROP
iptables -I INPUT -s 139.162.218.121/16 -j DROP
iptables -I INPUT -s 205.177.226.156/16 -j DROP

保存規則，保證下次啟動規則適用

service iptables save?

檢測是否是syn flooding DDOS攻擊

檢測syn_recv命令

檢查連接數增多，并且SYN_RECV 連接特別多：
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'


TIME_WAIT 16855
CLOSE_WAIT 21
SYN_SENT 99
FIN_WAIT1 229
FIN_WAIT2 113
ESTABLISHED 8358
SYN_RECV 48965
CLOSING 3
LAST_ACK 313


根據經驗，正常時檢查連接數如下：?
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'


TIME_WAIT 612
CLOSE_WAIT 2
FIN_WAIT1 3
FIN_WAIT2 535
ESTABLISHED 257
SYN_RECV 4

根據netstat查看到的對方IP特征并進行封堵：

# netstat -na |grep SYN_RECV|more


對可疑IP進行封堵封堵

常用命令

封單個IP的命令是：


iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是：


iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整個B段的命令是：


iptables -I INPUT -s 211.0.0.0/8 -j DROP
封幾個段的命令是：


iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

參考：http://drops.wooyun.org/tips/2457

?

轉載于:https://www.cnblogs.com/reblue520/p/6239849.html

總結

以上是生活随笔為你收集整理的网站遭遇CC及DDOS攻击紧急处理方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。