怎么判断是不是cc攻击

　　对于接触服务器较多的朋友相信对于cc攻击并不陌生，目前很多黑客通过绑架大量肉鸡发起cc攻击借以达成自己的非法盈利目的。但是对于新手朋友来说，怎么判断是不是cc攻击就是一个比较难的问题了，这里就通过cc攻击的一些特征以及检查方法来告诉大家怎么判断是不是cc攻击。

怎么判断是不是cc攻击

　　cc攻击的攻击技术含量低，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施攻击。CC攻击主要工作原理是耗资源，这就需要看是那种攻击方式，看抓包分析是否是通过多IP，刷新页面，如果是这是最典型的cc攻击。

　　下面是cc攻击所具有的一些特征，大家可以根据这些特征来判断是不是cc攻击：

　　1、耗Cpu资源

　　黑客用1万台肉鸡，刷新你网站动态页面，如果你程序不够健壮，cpu直接100%

　　2、耗内存资源

　　黑客只要刷新你动态页面中搜索数据库的内容，只要搜索量一大，内存占满。网站直接打不开或者是非常卡。

　　3、耗I/o资源

　　黑客找到上传文件，或者是下载文件的页面，在不停的上传与下载，磁盘资源点满

　　4、耗带宽资源

　　下面这个带宽接10G，攻击上来2G，能看流量占用多少，如果流量占满了，服务器直接掉包，掉线。网站一点都打不开。如果自己主机上不去，你可以问运营商要流量图，机房都有流量图的。

　　在通过上面讲解的cc攻击特征进行判断之后就可以初步判定是否遭受cc攻击了，另外还可以通过下面的3个手法来进一步确认是不是cc攻击。

　　1.命令行法

　　一般遭受CC攻击时，Web服务器会出现80端口对外关闭的DDOS攻击软件现象， 因为这个端口已经被大量的 DDOS攻击软件垃圾数据堵塞了正常的DDOS攻击软件连接被中止了。

　　所以可以通过在命令行下输入命令netstat -an来查看，如果看到类似如下有大量显示雷同的DDOS攻击软件

　　连接记录基本就可能被CC攻击了：

　　……

　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4

　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4

　　……

　　其中“就是被用来代理攻击的DDOS攻击软件主机的DDOS攻击软件IP，“SYN_RECEIVED”是TCP连接状态标志 ，意思是“正在处于连接的DDOS攻击软件初始同步状态 ”，表明无法建立握手应答处于等待状态。这就是攻击的DDOS攻击软件特征，一般情况下这样的DDOS攻击软件记录一般都会有很多条，表示来自不同的DDOS攻击软件代理IP的DDOS攻击软件攻击。

　　2.批处理法

　　上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立一个批处理文件， 通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat：

　　@echo off time /t >>log.log

　　netstat -n -p tcp |find “:80”>>Log.log notepad log.log

　　exit

　　上面的DDOS攻击软件脚本的DDOS攻击软件含义是筛选出当前所有的DDOS攻击软件到80端口的DDOS攻击软件 连接。当我们感觉服务器异常是就可以双击运行该批处理文件，然后在打开的DDOS攻击软件log.log文件中查看 所有的DDOS攻击软件连接。如果同一个IP有比较多的DDOS攻击软件到服务器的DDOS攻击软件连接，那就基本可 以确定该IP正在对服务器进行CC攻击。

　　3.查看系统日志

　　上面的DDOS攻击软件两种方法有个弊端，只可以查看当前的DDOS攻击软件CC攻击，对于确定Web服务器之前是否遭受CC攻击就无能为力了，此时我们可以通过Web日志来查，因为Web日志忠实地记录了所有IP访问Web资源 的DDOS攻击软件情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击，并确定攻击者的DDOS攻击软件IP 然后采取进一步的DDOS攻击软件措施。

　　最后，我们还可以通过下载网站安全狗进行检测看是不是cc攻击，首先，下载网站安全狗并安装，在服务器上安装完成之后，双击【网站安全狗】图标，进入软件界面，即可使用网站安全狗的全部功能，对网站进行保护。点击【流量保护】进入CC攻击防护界面，开启CC攻击防护功能(一般是默认开启)，即可进行防护。

　　网站安全狗免费下载地址，免费使用：http://free.safedog.cn/website_safedog.html

　　只有可以通过软件的拦截列表进行判断，如果是cc攻击，则会在拦截列表里显示正在遭受cc攻击并且能够查到源ip，这时可以设置“访问规则”、“会话验证规则”、“代理规则”、“网站白名单"等。如设置访问规则参数，可设置单个IP每10秒允许最大请求的数目为100次，超过此次数，该IP会被冻结即被限制访问5分钟 或者超过这个次数，IP会被放行30分钟。

　　对于不了解怎么判断是不是cc攻击的朋友，可以通过上面的几个步骤来逐一检查对照，如果特征全部符合，那就是cc攻击无疑。对于cc攻击的应对措施主要是做好服务器的防护配置，另外就是查找cc攻击的源ip进行封禁。当然，如果是遭受比较重大的cc攻击，也可以向安全狗咨询求助，我们会安排专业的技术人员帮忙解决。