網站的 CC防護你是怎麼做的呢？你知道怎麼確定伺服器正在遭受或者曾經遭受CC攻擊嗎 ?CC攻擊有一定的隱蔽性，我們可以透過以下三個方法來確定。

（ 1 ）檢視系統日誌

對於確定Web伺服器之前是否遭受CC攻擊，我們可以透過Web日誌來查，因為Web日誌忠實地記錄了所有IP訪問Web資源的情況。透過檢視日誌我們可以Web伺服器之前是否遭受CC攻擊，並確定攻擊者的IP然後採取進一步的措施。既然可以判斷出攻擊者的IP，那麼預防措施就很簡單，只需要批次將這些IP遮蔽，即可達到防範CC攻擊的目的。

（ 2 ）命令列法

一般遭受CC攻擊時，Web伺服器會出現80埠對外關閉的現象，因為這個埠已經被大量的垃圾資料堵塞了正常的連線被中止了。我們可以透過在命令列下輸入命令netstat -an來檢視，如果看到類似如下有大量顯示雷同的連線記錄基本就可以被CC攻擊了：

“ ……

TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4

TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 …… ”

其中“192.168.1.6”就是被用來代理攻擊的主機的IP，“SYN_RECEIVED”是TCP連線狀態標誌，意思是“正在處於連線的初始同步狀態 ”，表明無法建立握手應答處於等待狀態。這就是攻擊的特徵，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的攻擊。

（ 3 ）批處理法

如果Web伺服器IP連線太多，我們可以建立一個批處理檔案，透過該指令碼程式碼確定是否存在CC攻擊。開啟記事本鍵入如下程式碼儲存為CC.bat：

@echo off

　　time /t >>log.log

　　netstat -n -p tcp |find “:80”>>Log.log

　　notepad log.log

　　exit

篩選出當前所有的到80埠的連線。當我們感覺伺服器異常是就可以雙擊執行該批處理檔案，然後在開啟的log.log檔案中檢視所有的連線。如果同一個IP有比較多的到伺服器的連線，那就基本可以確定該IP正在對伺服器進行CC攻擊。

確定Web伺服器正在或者曾經遭受CC攻擊，那如何進行有效的防範呢? 這裡給大家簡單介紹幾種 CC防護策略。

（ 1 ）更改Web埠

一般情況下Web伺服器透過80埠對外提供服務，因此攻擊者實施攻擊就以預設的80埠進行攻擊，所以，我們可以修改Web埠達到 CC防護的目的。執行IIS管理器，定位到相應站點，開啟站點“屬性”皮膚，在“網站標識”下有個TCP埠預設為80，我們修改為其他的埠就可以了。

（ 2 ）取消域名繫結

一般cc攻擊都是針對網站的域名進行攻擊，比如我們的網站域名是“”，那麼攻擊者就在攻擊工具中設定攻擊物件為該域名然後實施攻擊。對於這樣的攻擊我們的措施是在IIS上取消這個域名的繫結，讓CC攻擊失去目標。經過模擬測試，取消域名繫結後Web伺服器的CPU馬上恢復正常狀態，透過IP進行訪問連線一切正常。但是不足之處也很明顯，取消或者更改域名對於別人的訪問帶來了不變，另外，對於針對IP的CC攻擊它是無效的，就算更換域名攻擊者發現之後，他也會對新域名實施攻擊。

（ 3 ） IIS遮蔽IP

我們透過命令或在檢視日誌發現了CC攻擊的源IP，就可以在IIS中設定遮蔽該IP對Web站點的訪問，從而達到 CC防護的目的。在相應站點的“屬性”皮膚中，點選“目錄安全性”選項卡，點選“IP地址和域名現在”下的“編輯”按鈕開啟設定對話方塊。在此視窗中我們可以設定“授權訪問”也就是“白名單”，也可以設定“拒絕訪問”即“黑名單”。比如我們可以將攻擊者的IP新增到“拒絕訪問”列表中，就遮蔽了該IP對於Web的訪問。

（ 4 ）域名欺騙解析

如果發現針對域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地迴環IP是用來進行網路測試的，如果把被攻擊的域名解析到這個IP上，就可以實現攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會當機，讓其自作自受。

如果瞭解了CC攻擊的原理，那就不難實施一些有效的針對性的 CC防護措施。因為 CC攻擊的攻擊技術含量低，利用工具和一些IP代理，一個初、中級的電腦水平的使用者就能夠實施攻擊。所有的防護服務都不可能做到100%的防住CC攻擊，但是可以最大程度的降低因遭受攻擊帶來的損失也就可以了。

本文來自：https://www.zhuanqq.com/News/Industry/250.html

CC防護是否奏效了呢？你的伺服器可能被攻擊了你知道嗎？

相關文章