如何快速判断服务器是否遭受CC攻击？

CC攻击有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC攻击呢?可以通过以下三个方法来确定。

1、命令行法

一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令netstat-an来查看，SYN_RECEIVED是TCP连接状态标志，意思是正在处于连接的初始同步状态，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。

2、批处理法

上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。

脚本筛选出当前所有的到80端口的连接。当感觉服务器异常时就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。

3、查看系统日志

web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下，web日志记录的项并不是很多，可以通过IIs进行设置，让web日志记录更多的项以便进行安全分析。其操作步骤是：开始-管理工具打开Internet信息服务器，展开左侧的项定位到相应的Web站点，然后右键点击选择属性打开站点属性窗口，在网站选项卡下点击属性按钮，在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性，以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在常规选项卡下对新日志计划进行设置，让其每小时或者每一天进行记录。为了方便日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。

高防的机房，机房硬件防火墙设备起码在10G以上。并且可认为单个客户供给安全保护，作为高防机房，有必要确保该机房要具有足够大的出口带宽，由于许多攻击也都是运用的带宽做去攻击他人的机器的。那么机房就有必要也要具有足够大的带宽资本，才干承受大的攻击。这样才干满意高防服务器的特色，所以在挑选高防服务器时必定要注意这一点，

本来能够从国内高防机房散布线路看出的，国内高防多以电信为主，网通也有高防，可是防护不高，而双线机房就彻底是没防护的，即是由于双线机房接入的带宽通常也就20G摆布。电信之所以高防多，也都是由于电信机房的出口带宽冗余多，可扩展性大，有规模的电信机房出口带宽起码40G摆布，那么挑选高防的时分，如果是真的要运用防护实力好的，就锁定在电信线路，来挑选。别的线路即使说自个防护多好多好，都没法跟电信的防护比。那么是不是一切称自个是电信高防的机房都是防护好的? 这个也是有待用户多去讲究的。

以江浙区域 以及广东区域的为主。这些城市的电信机房在国内都比照闻名的。运用高防的用户多是集中在这些区域。至于怎么判别这些区域中哪些机房防护是真的好。

首要需求了解到现在常遇到的攻击 多是DOS CC SYN 这些攻击。要知道市场上硬件防火墙的本钱。那么你就拿他们机器的报价跟市场上的硬防报价来做个比照在征询某公司高防时分，如果某客服通知你，咱们这硬防是多高，就能够防护多大的攻击；又或许通知你咱们这硬防能够防护一切类型的攻击，不可信，全球最牛的13台根服务器还被攻击跨过呢，所以不存在肯定的工作。又或许通知你，咱们的高防仅仅只百元就能够享用单机防护十几G甚至更高，也不可信。

在选择高防服务器方面一定要选择有资质、有经验的服务商公司。比如群英在高防服务器和唯一这些的高防都是不错的。如果有需求的，你可以去问问。

---