如何快速判断服务器是否遭受CC攻击？

CC攻击有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC攻击呢?可以通过以下三个方法来确定。

1、命令行法

一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令netstat-an来查看，SYN_RECEIVED是TCP连接状态标志，意思是正在处于连接的初始同步状态，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。

2、批处理法

上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。

脚本筛选出当前所有的到80端口的连接。当感觉服务器异常时就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。

3、查看系统日志

web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下，web日志记录的项并不是很多，可以通过IIs进行设置，让web日志记录更多的项以便进行安全分析。其操作步骤是：开始-管理工具打开Internet信息服务器，展开左侧的项定位到相应的Web站点，然后右键点击选择属性打开站点属性窗口，在网站选项卡下点击属性按钮，在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性，以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在常规选项卡下对新日志计划进行设置，让其每小时或者每一天进行记录。为了方便日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。

CC攻击主要工作原理是耗资源，这就需要看是那种攻击方式，看抓包分析是否是通过多IP，刷新页面，如果是这是最典型的Cc攻击。如果cc攻击你网站打不开，指定会有一种资源耗尽，才会引发网站打不开或者加载缓慢。可自行判断一下，是下列四种情况中的那一种。

1.CPU耗尽

黑客利用大量肉鸡，刷新你网站动态页面，产生大量并发，导致cpu直接100%，运行在服务器上的网站直接就会出现卡慢，甚至打不开的情况。

2.内存耗尽

黑客大量刷新你网站的动态请求，会产生大量内存，而内存占满就会导致网页打开卡慢等问题。

3. 磁盘IO读写超高

我们都知道每种磁盘的IO读写速率都有限制，像SSD磁盘一般几百MB左右，黑客利用上传下载文件在不停的上传与下载，磁盘资源点满，一但IO占满了，那么正常读写就会无法正常工作，直接导致网站打不开，或者打开超时。

4.耗带宽资源

现在一般的云服务器配置都是5M 10M这样独享带宽，然而这点带宽对于CC攻击来说，简直是蚂蚁撼大象,黑客利用世界各地大量的肉鸡，很轻松就可以打出5G 10G甚至上百G的流量，而一些云服务商对每台云服务器上的带宽都有上限，一但流入流量超过了5G，他们就会直接把这个服务器的IP拉入黑洞，以保证整体网络的稳定性，按我们说的就是拔网线。IP进不去了，网站自然也打不开。

如何防御CC攻击？

理论上服务器配置无限增加就可以防得住CC攻击，CPU内存带宽配置越高，抵抗能力越大，但是这只是理论上的，就好比你是一个身强体壮的汉子，跟一群人打架，三四个人也许对你毫无压力，但是如果几百个人呢？一人一口水你都挂了。

所以防御CC攻击我们需要帮手。

一，高防IP

高防IP是指拥有专业的防火墙的IP转发节点，可以有效拦截非常攻击。就好像一群人肉搏，你却拥有盔甲，对方肯定是打不过你的。

二、高防服务器

和高防IP类似，高防服务器是指拥有专业防火墙的服务器，可以有效拦截CC攻击。

三、高防CDN

高防CDN是指设置在全国各地的高防节点，通过分散攻击来达到防御作用。就像打群架，对方来100人，但是你有15个帮手，而且这些帮手个个都是练武的，一打10不是问题，那么问题就解决了。

推荐防御产品：

百度云加速是百度旗下为网站提供一站式加速、安全防护和搜索引擎优化的产品。提供四到七层的DDoS攻击防护，包括CC、SYN flood、UDP flood等所有DDoS攻击方式， 通过分布式高性能防火墙+精准流量清洗+CC防御+WEB攻击拦截，组合过滤精确识别，有效防御各种类型攻击。相关链接

京东云星盾安全加速（SCDN，Secure Content Delivery Network），是京东云推出的一体化分布式安全防御产品，提供免费 SSL 证书，集成 Web 攻击防护、CC 攻击防御、BOT 机器人分析，并将内容分发加速能力融于一身。在边缘节点注入安全能力，形成分布式的安全加速网络，让您的业务更安全、体验更流畅。适用于所有兼顾安全和内容加速的业务。相关链接

CC是利用网络中大量的肉鸡来模仿用户.同一时间内访问某一网站致使网站连接数占满而导致正常用户无法访问的情况.所以出现CC攻击最典型的表现就是网站时而可以打开.时而打不开.时快时慢.如果你服务器所在的机房有硬防.建议找服务商协助你查看.如果没有.也可以自己借助于一些安全防护软件来判断.当发现网站有大量不明IP集中在同一时间访问.而且网站时快时慢时.就有可能是遭受到了CC攻击.，另外国内有硬防的机房主要是防DDOS.SYN等流量攻击.对于CC的防御.是需要机房根据攻击的不同种类做相应的安全策略才可以有效.目前国内群英的机房是为数不多的可以防CC的机房.