如何確定伺服器是否遭受CC攻擊?三種方法！

　CC攻擊可以歸為DDoS攻擊的一種。他們之間的原理都是一樣的，即傳送大量的請求資料來導致伺服器拒絕服務，是一種連線攻擊。但不同的是，CC攻擊不僅可以對網站進行攻擊，還可以對FTP等伺服器進行攻擊，所以它具有很強的危害性。那麼如何確定伺服器是否遭受CC攻擊?具體請看下文。

　　CC攻擊有一定的隱蔽性，那如何確定伺服器正在遭受或者曾經遭受CC攻擊呢?可以透過以下三個方法來確定。

　　1、命令列法

　　一般遭受CC攻擊時，Web伺服器會出現80埠對外關閉的現象，因為這個埠已經被大量的垃圾資料堵塞了正常的連線被中止了。可以透過在命令列下輸入命令netstat-an來檢視，SYN_RECEIVED是TCP連線狀態標誌，意思是正在處於連線的初始同步狀態，表明無法建立握手應答處於等待狀態。這就是攻擊的特徵，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的攻擊。

　　2、批處理法

　　上述方法需要手工輸入命令且如果Web伺服器IP連線太多看起來比較費勁，可以建立一個批處理檔案，透過該指令碼程式碼確定是否存在CC攻擊。

　　指令碼篩選出當前所有的到80埠的連線。當感覺伺服器異常時就可以雙擊執行該批處理檔案，然後在開啟的log.log檔案中檢視所有的連線。如果同一個IP有比較多的到伺服器的連線，那就基本可以確定該IP正在對伺服器進行CC攻擊。

　　3、檢視系統日誌

　　web日誌一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下，該目錄下用類似httperr1.log的日誌檔案，這個檔案就是記錄Web訪問錯誤的記錄。管理員可以依據日誌時間屬性選擇相應的日誌開啟進行分析是否Web被CC攻擊了。

　　預設情況下，web日誌記錄的項並不是很多，可以透過IIs進行設定，讓web日誌記錄更多的項以便進行安全分析。其操作步驟是：開始-管理工具開啟Internet資訊伺服器，展開左側的項定位到相應的Web站點，然後右鍵點選選擇屬性開啟站點屬性視窗，在網站選項卡下點選屬性按鈕，在日誌記錄屬性視窗的高階選項卡下可以勾選相應的擴充套件屬性，以便讓Web日誌進行記錄。比如其中的傳送的位元組數、接收的位元組數、所用時間這三項預設是沒有選中的，但在記錄判斷CC攻擊中是非常有用的，可以勾選。另外，如果你對安全的要求比較高，可以在常規選項卡下對新日誌計劃進行設定，讓其每小時或者每一天進行記錄。為了方便日後進行分析時好確定時間可以勾選檔案命名和建立使用當地時間。