V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fruit
V2EX  ›  信息安全

初级问题,怎么分辨 DDOS 还是 CC 攻击

  •  
  •   fruit · 2016-05-28 09:32:21 +08:00 · 5090 次点击
    这是一个创建于 3103 天前的主题,其中的信息可能已经有所发展或是发生改变。


    服务器受到攻击, php 的进程猛增~ 内存和 CPU 耗尽。

    但是我在 nginx 的日志文件中,找不到攻击的具体 URL ,他是怎么让服务器创建这么多进程的?

    是不是我看的方式有问题 ,求教~
    16 条回复    2016-05-28 12:02:29 +08:00
    xiaoz
        1
    xiaoz  
       2016-05-28 10:08:16 +08:00 via iPhone
    看网站日志啊
    UnisandK
        2
    UnisandK  
       2016-05-28 10:34:46 +08:00
    应该是 CC
    kn007
        3
    kn007  
       2016-05-28 10:35:27 +08:00
    这明显是 CC 。。。
    kn007
        4
    kn007  
       2016-05-28 10:36:09 +08:00
    看到最上面的 Mysql 了没?
    明显所有 php 都在等 mysql 回应,而 mysql 已经处理不过来了
    ywencn
        5
    ywencn  
       2016-05-28 10:39:01 +08:00
    日志能看到,就是 CC ,看不到, DDOS
    fruit
        6
    fruit  
    OP
       2016-05-28 10:39:37 +08:00
    @kn007 为什么我的 access.log 里面的记录都挺正常的~~
    fruit
        7
    fruit  
    OP
       2016-05-28 10:41:26 +08:00
    @ywencn 日志没发现异常记录, DDOS 也是针对 URL 的么? 因为我发现当首页静态化之后,负载就低了,然后他大概发现了,又换了个位置,又高了~
    kn007
        8
    kn007  
       2016-05-28 10:43:42 +08:00
    @fruit 你确定你配置的站点都有日志么?也有可能你某个页面对 mysql 查询较多,频繁访问也会这样。

    当然如果日志都没有,或许还真可能是 ddos ,但一般不大可能,你可以 strace 个 php 进程看看请求什么路径。
    miaosu
        9
    miaosu  
       2016-05-28 10:45:07 +08:00
    CC 不过这个也有可能是你程序本身写的不好出现的问题
    kn007
        10
    kn007  
       2016-05-28 10:47:43 +08:00
    @fruit CC 针对网页(针对业务)吧, ddos 针对端口(或者说是针对网络)。

    ddos 不会因为你是静态化就降低,他的目的是不断塞请求进来。

    我被 D 的时候,只有 nginx 占用高了,其他没什么负载,但 10W 个创建请求都满了。

    我只开了 web 端口和一些常用的。如果你服务器没有做端口限制, ddos 可以选择任意端口攻击。
    jasontse
        11
    jasontse  
       2016-05-28 10:53:45 +08:00 via iPad
    @kn007 DDOS 不管你开没开端口,反正流量打过来网络受着呢,要 Drop 怎样随便。
    kn007
        12
    kn007  
       2016-05-28 10:56:21 +08:00
    @jasontse 指正的是。确实是,被打过几次。

    但这样做起码业务不受影响。毕竟开放端口总归不好。
    fruit
        13
    fruit  
    OP
       2016-05-28 11:09:34 +08:00
    fruit
        14
    fruit  
    OP
       2016-05-28 11:09:53 +08:00
    多谢!
    qcloud
        15
    qcloud  
       2016-05-28 11:58:16 +08:00
    要是 ddos ,你服务器都进不去
    wujunze
        16
    wujunze  
       2016-05-28 12:02:29 +08:00
    目测是 CC 可以用 shell 脚本防御一部分 CC 的
    也可以加个 CDN 百度云加速 加速乐 等
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3075 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 14:25 · PVG 22:25 · LAX 06:25 · JFK 09:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.