服务器受到cc攻击如何破解

　　目前有互联网上存在着大量的网络攻击，但是绝大多数的服务器管理者，是不懂得网络攻击的，所以很多时候自己的服务器沦为肉鸡，或者正在遭受cc攻击而不自知。这时候就需要有专门的应对方式，下面就为大家介绍一下服务器受到cc攻击的应对方式以及cc攻击如何破解的介绍。

服务器受到cc攻击

　　服务器受到cc攻击时，先要进行判断。CC攻击主要工作原理是耗资源，网站正常运行情况下是看不出问题的，如果想知道是否遭受CC攻击，可以从几个方面进行判断。

　　1、耗内存资源。黑客只要刷新你动态页面中搜索数据库的内容，只要搜索量一大，内存占满。网站直接打不开或者是非常卡。

　　2、网站会出现打不开或很慢的状况，时而打开时而打不开。如果是流量攻击，那就是服务器都打不开，一直处于打不开的状态。黑客用1万台肉鸡，刷新你网站动态页面，如果你程序不够健壮，cpu直接100%

　　3、耗I/o资源。黑客找到上传文件，或者是下载文件的页面，在不停的上传与下载，磁盘资源点满

　　4、在日志中，如果某些IP一直在访问同一页面或资源，则该IP是攻击。

　　5、耗带宽资源。如果带宽接10G，攻击上来2G，能看流量占用多少，如果流量占满了，服务器直接掉包，掉线。网站一点都打不开。如果自己主机上不去，你可以问运营商要流量图，机房都有流量图的。

　　6、一般遭受CC攻击时，Web服务器会出现80端口对外关闭的ddos攻击软件现象，因为这个端口被大量的ddos攻击垃圾数据堵塞。

　　另外还可以通过下面几种方法来判断：

　　(1).命令行法

　　一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat-an来查看，如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了：

　　……

　　TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4

　　……

　　其中”192.168.1.6″就是被用来代理攻击的主机的IP，”SYN_RECEIVED”是TCP连接状态标志，意思是”正在处于连接的初始同步状态”，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。

　　(2).批处理法

　　上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat：

　　@echooff

　　time /t >>log.log

　　netstat -n -p tcp |find “:80”>>Log.log

　　notepad log.log

　　exit

　　上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。

　　(3).查看系统日志

　　上面的两种方法有个弊端，只可以查看当前的CC攻击，对于确定Web服务器之前是否遭受CC攻击就无能为力了，此时我们可以通过Web日志来查，因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击，并确定攻击者的IP然后采取进一步的措施。

　　Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。默认情况下，Web日志记录的项并不是很多，我们可以通过IIS进行设置，让Web日志记录更多的项以便进行安全分析。其操作步骤是：

　　“开始→管理工具”打开”Internet信息服务器”，展开左侧的项定位到到相应的Web站点，然后右键点击选择”属性”打开站点属性窗口，在”网站”选项卡下点击”属性”按钮，在”日志记录属性”窗口的”高级”选项卡下可以勾选相应的”扩展属性”，以便让Web日志进行记录。比如其中的”发送的字节数”、”接收的字节数”、”所用时间”这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在”常规”选项卡下对”新日志计划”进行设置，让其”每小时”或者”每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选”文件命名和创建使用当地时间”。

cc攻击如何破解

　　静态页面

　　正常静态页面只有几十kb，而动态页面需要频繁从数据库中调用大量数据，对于cc攻击者来说，甚至只需要几台肉鸡就可以把网站资源全部消耗。

　　隐藏服务器ip

　　打开cmd输入netstat -an如果出现大量外部ip就是被攻击了，这时候可以使用cdn加速能隐藏服务器的真实ip，导致攻击者攻击不到真实ip，这种方法比较往往被动。

　　攻击者是通过大量代理进行攻击，设置禁止代理访问，或者限制代理连接数量，也能起到一定的防护作用。

　　优化代码

　　尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销。减少复杂框架的调用，减少不必要的数据请求和处理逻辑。程序执行中，及时释放资源，比如及时关闭mysql连接，及时关闭memcache连接等，减少空连接消耗。

　　限制手段

　　对一些负载较高的程序增加前置条件判断，可行的判断方法如下：

　　必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);必须具有正确的referer(可有效防止嵌入式代码的攻击);禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征);同一session多少秒内只能执行一次。

　　完善日志

　　尽可能完整保留访问日志。日志分析程序，能够尽快判断出异常访问，比如单一ip密集访问;比如特定url同比请求激增。

　　下载服务器安全狗

　　服务器安全狗有三层网络防护，能够实时保护网络安全，具有强有力的网络防护，实时监测IP和端口访问的合法性，实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。

　　下载地址：http://free.safedog.cn/server_safedog.html

　　通过上面的讲解，你知道服务器受到cc攻击怎么应对了吗?关于cc攻击如何破解，也有了一定的了解了吧。对于目前的数字化时代，服务器安全是至关重要的，不容忽视，还请企业公司以及服务器管理者们务必要重视，不能听之任之。