一次CC攻击

[root@fNginx-vm003 tx2]# cat /data/Nginx/logs/aaw-pc/aaw.access.log | grep "14/May/2019" | wc -l
459234
[tx2@fningx-vm002 ~]$ cat /data/Nginx/logs/aaw-pc/aaw.access.log | grep "14/May/2019" | wc -l
176461
[tx2@fNginx-vm004 ~]$ cat /data/Nginx/logs/aaw-pc/aaw.access.log | grep "14/May/2019" | wc -l
197985
[tx2@fningx-vm001 ~]$ cat /data/Nginx/logs/aaw-pc/aaw.access.log | grep "14/May/2019" | wc -l
131334

[tx2@fNginx-vm003 ~]$ cat /data/Nginx/logs/aaw-mobile/m.aaw.access.log | grep "14/May/2019" | wc -l
5922
[tx2@fningx-vm001 ~]$ cat /data/Nginx/logs/aaw-mobile/m.aaw.access.log | grep "14/May/2019" | wc -l
4506
[tx2@fningx-vm002 ~]$ cat /data/Nginx/logs/aaw-mobile/m.aaw.access.log | grep "14/May/2019" | wc -l
4766
[tx2@fNginx-vm004 ~]$ cat /data/Nginx/logs/aaw-mobile/m.aaw.access.log | grep "14/May/2019" | wc -l
4866

平时总量：100左右

DDoS攻击就是分布式的拒绝服务攻击。
单一的DoS攻击一般是采用一对一方式的。
CC攻击是对目标Web服务器进行海量http request攻击，是DDOS（分布式拒绝服务）的一种。
DDoS是针对IP的攻击，而CC攻击的是网页
攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。
一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。
用命令netstat -an | grep SYN_RECV查看，“SYN_RECEIVED”是TCP连接状态标志，意思是“正在处于连接的初始同步状态”，表明无法建立握手应答处于
等待状态。这就是攻击的特征，一般情况下这样的记录都会有很多条，表示来自不同的代理IP的攻击。
解决方式：
取消域名绑定
更改web端口
屏蔽IP
高防CDN
ddos的硬件防火墙（目前应对DDOS攻击最有效的）
域名欺骗解析（解析到127.0.0.1回环网卡或权威的政府网站）;反击的手段

使用Nginx提供给我们的limit_req_module模块来限制单个IP的请求次数，虽然用limit_req_module可以一定上的防止CC攻击，但是有误杀概率；国内宽带用户的IP地址已经大量内网化，几百人共享一个IP的可能性是很大的。

TCP/IP连接状态：
TIME_WAIT：通信双方建立TCP连接后，主动关闭连接的一方就会进入TIME_WAIT状态。户端主动关闭连接时，会发送最后一个ack后，然后会进入TIME_WAIT状态，再停留2个MSL时间(后有MSL的解释)，进入CLOSED状态。
SYN_RCVD：TCP三次握手的中间状态，是服务端口（监听端口，如应用服务器的80端口）收到SYN包并发送[SYN，ACK]包后所处的状态。这时如果再收到ACK的包，就完成了三次握手，建立起TCP连接。
CLOSED：表示初始状态。
LISTEN：表示服务器端的某个SOCKET处于监听状态，可以接受连接。
ESTABLISHED：表示链接已经建立了。

相关推荐