Web服务器如何避免CC

　　摘要：CC比DDOS更的就是，CC一般是硬防很难防止住的。为什么呢？一、因为CC来的IP都是真实的，分散的；二、CC的数据包都是正常的数据包；三、CC的请求，全都是有效的请求，无法的请求。

　　CC比DDOS更的就是，CC一般是硬防很难防止住的。为什么呢？一、因为CC来的IP都是真实的，分散的；二、CC的数据包都是正常的数据包；三、CC的请求，全都是有效的请求，无法的请求。

　　1、原理

　　CC的原理就是者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

　　2、症状

　　CC有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC呢?我们可以通过以下三个方法来确定。

　　(1)命令行法

　　一般遭受CC时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat-an来查看，如果看到类似如下有大量显示雷同的连接记录基本就可以被CC了：

　　其中“192.168.1.6”就是被用来代理的主机的IP，“SYN_RECEIVED”是TCP连接状态标志，意思是“正在处于连接的初始同步状态”，表明无法建立握手应答处于等待状态。这就是的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的。

　　(2)批处理法

　　上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立一个批处理文件，通过该脚本代码确定是否存在CC。打开记事本键入如下代码保存为CC.bat：

　　的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC。

　　(3)查看系统日志

　　输入192.168.1.1的两种方法有个弊端，只可以查看当前的CC，对于确定Web服务器之前是否遭受CC就为力了，此时我们可以通过Web日志来查，因为Web日志地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC，并确定者的IP然后采取进一步的措施。

　　Web日志一般在C:WINDOWSsystem32LogFilesHTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC了。

　　默认情况下，Web日志记录的项并不是很多，我们可以通过IIS进行设置，让Web日志记录更多的项以便进行安全分析。其操作步骤是：

　　“开始→管理工具”打开“Internet信息服务器”，展开左侧的项定位到到相应的Web站点，然后右键点击选择“属性”打开站点属性窗口，在“网站”选项卡下点击“属性”按钮，在“日志记录属性”窗口的“高级”选项卡下可以勾选相应的“扩展属性”，以便让Web日志进行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的，但在记录判断CC中常有用的，可以勾选。

　　另外，如果你对安全的要求比较高，可以在“常规”选项卡下对“新日志计划”进行设置，让其“每小时”或者“每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间”。

　　CC的严重性希望大家能够引起注意，多多提高防范意识。

　　系统知识：合理设置Vista系统防火墙让...

　　系统知识：Windows7中对应用程序的安...

　　系统知识：避免泄密Vista下轻松删除历...

　　系统知识：Windows系统任务管理器的另...

　　系统知识：给IE浏览器加个参数不怕IE...

　　Web服务器如何避免CC

　　完全信赖服务器虚拟化的十大密钥

　　网络安全技术之Web服务器

　　网络安全技术之网络安全