什么是CC攻击？防御的原则和方法是什么？ tcpdump方法判断

　什么是CC攻击？

关于CC攻击，这里有百度的解释：

CC攻击的原理是攻击者控制某些主机不断向另一台服务器发送大量数据包，导致服务器耗尽资源直至崩溃。 CC主要用于攻击网站。大家都有这样的经历：当一个网站被很多人访问时，网站就会加载缓慢。 CC 不断模拟多个用户（有多少用户就有多少线程）。访问需要大量数据操作（即大量处理器时间）的页面会造成服务器资源的浪费。 CPU长时间处于100%并且一直有待处理的连接，直到网络过载而暂停正常访问。

对于CC攻击的防御，可以通过拒绝访问代理站点、尝试将站点设为静态站点、限制连接数、更改最大时间限制等方式来预防和解决。

了解CC攻击的原理和防御方法。现在要解决的第一个问题是如何检测服务器是否受到CC攻击。

这里有一个简单的方法来查明您是否受到 CC 攻击：

tcpdump

：一种数据包分析工具，可根据用户定义拦截网络上的数据包。 tcpdump可以完整截获网络传输的数据包的“头”并提供分析。它支持按网络层、协议、主机、网络或端口进行过滤，并提供和或等逻辑语句来帮助您去除无用信息。 Linux 系统上默认不安装

tcpdump。如果系统中没有安装，可以使用以下方法：

centos 安装方法：

ubuntu/debian 安装方法

apt-get intsall -y tcpdump

安装完成后，可以使用以下命令查看信息：

第一项：

tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'

系统启动该命令后，如果访问网站，一般会显示如下结果：

该命令正常的结果大多是css、js等静态文件图片。

如果受到攻击，会出现大量永久地址。例如，如果首页受到攻击，就会出现大量的“GET/HTTP/”或者具有某些属性的地址。

第二个元素：

tcpdump -s0 -A -n -i any | grep  ^User-Agent

这样就可以看到用户代理的一些信息，比如系统、浏览器等。上图中，前四个可以通过Firefox浏览器访问，后四个可以通过IE浏览器访问。我们可以很容易的看到这个数据。

这是为了验证客户端用户代理。正常结果中有不同的用户代理。

大多数攻击都使用固定的用户代理，这意味着您会看到相同的用户代理在屏幕上滑动。随机用户代理只出现过一次，但它被做成了类似“axd5m8usy”的东西，所以它仍然是可区分的。

第3条：

tcpdump -s0 -A -n -i any | grep ^Host

如果设备上的网站过多，可以使用上述命令找出哪个网站收到大量请求。