在Linux下如何查CC攻击

查看所有80端口的连接数

netstat -nat|grep -i "80"|wc -l

对连接的IP按连接数量进行排序

netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | awk '{print $5}' | egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort | uniq -c | sort -nr

查看TCP连接状态

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {++S[$NF]}END {for(a in S) print a, S[a]}'

netstat -n | awk '/^tcp/ {++state[$NF]}END {for(key in state) print key,"\t",state[key]}'

netstat -n | awk '/^tcp/ {++arr[$NF]}END {for(k in arr) print k,"\t",arr[k]}'

netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c

查看80端口连接数最多的20个IP

cat /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

tail -n 10000 /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

cat /www/web_logs/waitalone.cn_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk '/:80/{split($5,ip,":")++A[ip[1]]}END{for(i in A) print A,i}' |sort -rn|head -n20

用tcpdump嗅探80端口的访问看看谁最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20

查找较多的SYN连接

netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more

linux下实用iptables封ip段的一些常见命令：

封单个IP的命令是：

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是：

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是：

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是：

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

想在服务器启动自运行的话有三个方法：

1、把它加到/etc/rc.local中

2、iptables-save >/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中，系统启动iptables时自动执行。

3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中，系统启动iptables时自动执行。

后两种更好此，一般iptables服务会在network服务之前启来，更安全。

解封的话：

iptables -D INPUT -s IP地址 -j REJECT

iptables -F 全清掉了

DDOS和CC攻击的区别

dos攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。ddos的攻击方式有很多种，最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

CC攻击模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据 *** 作，就是需要大量CPU时间的页面).这一点用一个一般的性能测试软件就可以做到大量模拟用户并发。CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。

ddos攻击和cc攻击区别主要是针对对象的不同。DDoS是主要针对IP的攻击，而CC攻击的主要是网页。CC攻击相对来说，攻击的危害不是毁灭性的，但是持续时间长而ddos攻击就是流量攻击，这种攻击的危害性较大，通过向目标服务器发送大量数据包，耗尽其带宽，甚至影响整个机房网络，所以一般的云服务商都是会设置有DDos防御值，比如阿里云都是免费5G的防御值，超过了后会把IP拉入黑洞，由此可看DDoS的威力更大。

那么如何做好CC和DDoS的防御呢?

其中高防服务器和高防IP价格相对较贵，主机吧推荐使用高防CDN，比如百度云加速高防CDN，价格既便宜，防御又好，还可以加速，还有清晰的报表显示，非常不错。

百度云加速提供四到七层的DDoS攻击防护，包括CC、SYN flood、UDP flood等所有DDoS攻击方式， 通过分布式高性能防火墙+精准流量清洗+CC防御+WEB攻击拦截，组合过滤精确识别，有效防御各种类型攻击。相关链接

一般的CC就是一个软件链接到GCC的。只不过CC是UNIX中常用的编译工具，而在linux中用的是GCC，有一些在UNIX中写好的程序要放在linux中要指定命令CC编译器，所以将CC指定为GCC。其实就是一个东西。

一般的CC它就是一个软件链接，你可以使用命令：whereis cc来查看一下它在什么路径，然后你再使用ls -l命令查看一下它的详细信息，是不是在它的后面有一个箭头（-->）指向一个可执行文件。

---