原理:cc攻击会模拟大量访问网站的操作,挤占正常访问者的资源空间
现象:访问网站明显缓慢,服务器cpu占用高,tcp数量激增,上下带宽跑高
Linux 排查思路:
正常访问是出大于进。而cc攻击中,出入流量基本一致。
2. 分析网络链接情况
1).查看本机ip上tcp数量前10位
命令: netstat -an|grep ESTA|awk '{print $4}'|awk 'BEGIN {FS=":"} {print $1 "\n"}'|sort|uniq -c|head -11
2).查看实时链接流量,左侧为本机接收ip,右侧为对方ip
命令: yum install -y iftop && top
3. 封指定ip测试
联系我们封禁链接数量最高的本机ip,同时观察资源占用是否下降
4. 处理
1). 使用cdn
2). 确定域名被攻击,可解析至高防
2). 停用被攻击的域名并观察
3). 停用被攻击的ip并观察