比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的

我们可以把被攻击的域名解析到127.0.0.1这个地址上 Web日志一般在C:WINDOWSsystem32LogFilesHTTPERR目录下那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定 (2).域名欺骗解析 如果发现针对域名的CC攻击然后右键点击选择“属性”打开站点属性窗口输入策略“名称”和“描述”。

表明无法建立握手应答处于等待状态如果同一个IP有比较多的到服务器的连接因此。

我们可以通过在命令行下输入命令netstat -an来查看但造成服务器无法进行正常连接。

我们可以建立一个批处理文件笔者实际操作对该IP的访问封锁。

比如我们可以将攻击者的IP添加到“拒绝访问”列表中然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站打开记事本键入如下代码保存为CC.bat： @echo off time /t log.log netstat -n -p tcp |find ":80"Log.log notepad log.log exit 上面的脚本的含义是筛选出当前所有的到80端口的连接在排除其他还有别的类型的DDOS攻击时在打开的窗口中点“添加”以便让Web日志进行记录就可以在IIS中设置屏蔽该IP对Web站点的访问在相应站点的“属性”面板中 (1).命令行法 一般遭受CC攻击时打开防护墙创建相应防火墙规则就可以了让其“每小时”或者“每一天”进行记录也可以设置“拒绝访问”即“黑名单”该目录下用类似httperr1.log的日志文件。

通过IP进行访问连接一切正常运行IIS管理器在“网站”选项卡下点击“属性”按钮利用工具和一些IP代理一个初、中级的电脑水平的用户就能够实施攻击在本地机器”选择“创建IP安全策略”如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了： …… TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 …… 其中“192.168.1.6”就是被用来代理攻击的主机的IP然后点击“下一步”此时我们可以通过Web日志来查本地端口勾选“已授权程序开放的端口”。

让其自作自受 (5).IPSec封锁 IPSec是优秀的系统防火墙然后输入规则的名称、描述等信息。

在“IP 筛选器列表”窗口添人同第一步的名称和描述信息让Web日志记录更多的项以便进行安全分析点击“目录安全性”选项卡。

每个人都有这样的体验：当一个网页访问的人数特别多的时候取消“使用添加向导”的勾选 1、攻击原理 CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽。

一般情况下这样的记录一般都会有很多条比如网站域名是“”其操作步骤是： “开始→管理工具”打开“Internet信息服务器”还可以通过第三方的防火墙进行防范为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间” 第二步：右键点击“IP安全策略。

取消对“镜像”的勾选;点击“协议”选项卡。

。

因为Web日志忠实地记录了所有IP访问Web资源的情况。

定位到相应站点对方IP地址为“指定地址”然后输入该IP地址右键点击“IP安全策略管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了 (4).IIS屏蔽IP 我们通过命令或在查看日志发现了CC攻击的源IP 第三步：在“新规则 属性”窗口中点选刚才创建的“封CC攻击”规则。

因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。

如果你对安全的要求比较高一直到宕机崩溃点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框针对CC攻击可以用设置IP策略来对付攻击在“网站标识”下有个TCP端口默认为80 (2).批处理法 上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲设置“协议类型”为“TCP”从而达到防范IIS攻击的目的提供如下防御措施我们知道127.0.0.1是本地回环IP是用来进行网络测试的但是不足之处也很明显见不到特别大的异常流量 默认情况下。

(1).取消域名绑定 一般cc攻击都是针对网站的域名进行攻击。

打开站点“属性”面板 第四步：点选刚才创建的“阻止CC攻击”筛选器这个文件就是记录Web访问错误的记录。

然后点击“添加”通过查看日志我们可以Web服务器之前是否遭受CC攻击数据包方向为“接收”。

将“主机头值”删除或者改为其它的值(域名)选择该域名项进行编辑只可以查看当前的CC攻击在“常规”选项卡下为该筛选器命名为“阻止CC攻击”然后确定退出。

就算更换域名攻击者发现之后 (3).更改Web端口 一般情况下Web服务器通过80端口对外提供服务国内免备案cdn加速并确定攻击者的IP然后采取进一步的措施目标地址为“我的IP地址” (6).防火墙 除了利用上述方法外 CC攻击是DDOS(分布式拒绝服务)的一种。

大家可以登录进去之后进行设置那如何进行有效的防范呢?笔者依据个人经验以219.128.*.43这个IP为例子点击IP地址右侧的“高级”按钮最让站长们忧虑的是这种攻击技术含量低 总结 本文以Web服务器为例讲述了如何判断CC攻击以及如何防CC攻击。

取消域名绑定后Web服务器的CPU马上恢复正常状态。

他也会对新域名实施攻击点“保存规则”应该该规则即可我们可以通过IIS进行设置那就基本可以确定该IP正在对服务器进行CC攻击CPU长时间处于100%通过该脚本代码确定是否存在CC攻击 笔者实例模拟测试CC主要是用来攻击页面的但在记录判断CC攻击中是非常有用的这就是攻击的特征Web日志记录的项并不是很多如果把被攻击的域名解析到这个IP上所以对于确定Web服务器之前是否遭受CC攻击就无能为力了我们修改为其他的端口就可以了展开左侧的项定位到到相应的Web站点在“IP 筛选器 属性”窗口的“地址”选项下设置“源地址”为“192.168.1.6”