如何快速判断服务器是否遭受CC攻击？

CC攻击有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC攻击呢可以通过以下三个方法来确定。

1、命令行法

一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令netstat-an来查看，SYN_RECEIVED是TCP连接状态标志，意思是正在处于连接的初始同步状态，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。

2、批处理法

上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。

脚本筛选出当前所有的到80端口的连接。当感觉服务器异常时就可以双击运行该批处理文件，然后在打开的loglog文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。

3、查看系统日志

web日志一般在C:\WINDOWS\system32\LogFiles\>

默认情况下，web日志记录的项并不是很多，可以通过IIs进行设置，让web日志记录更多的项以便进行安全分析。其 *** 作步骤是：开始-管理工具打开Internet信息服务器，展开左侧的项定位到相应的Web站点，然后右键点击选择属性打开站点属性窗口，在网站选项卡下点击属性按钮，在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性，以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在常规选项卡下对新日志计划进行设置，让其每小时或者每一天进行记录。为了方便日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。

一，首先服务器一定要把administrator禁用，设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码，重新建立
一个新账号，设置上新密码，权限为administraor
然后删除最不安全的组件：
建立一个BAT文件,写入
regsvr32/u C:\WINDOWS\System32\wshomocx
del C:\WINDOWS\System32\wshomocx
regsvr32\u C:\WINDOWS\system32\shell32dll
del C:\WINDOWS\system32\shell32dll
二，IIS的安全：
1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为shtml, shtm, stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE60的版本不需要。
八、其它
1、 系统升级、打 *** 作系统补丁，尤其是IIS 60补丁、SQL SP3a补丁，甚至IE 60补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0
4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2
EnablePMTUDiscovery 值为0
NoNameReleaseOnDemand 值为1
EnableDeadGWDetect 值为0
KeepAliveTime 值为300,000
PerformRouterDiscovery 值为0
EnableICMPRedirects 值为0
6 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名为PerformRouterDiscovery 值为0
7 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0
9、禁用DCOM:
运行中输入 Dcomcnfgexe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
10禁用服务里的
Workstation 这服务开启的话可以利用这个服务，可以获取服务器所有帐号
11阻止IUSR用户提升权限
三，这一步是比较关键的（禁用CMD运行）
运行-gpeditmsc-管理模板-系统
-阻止访问命令提示符
-设置
-已启用(E)
-也停用命令提示符脚本处理吗
(是)
四，防止SQL注入
打开SQL Server，在master库用查询分析器执行以下语句:
exec sp_dropextendedproc 'xp_cmdshell'
使用了以上几个方法后，能有效保障你的服务器不会随便被人黑或清玩家数据，当然我技术有限，有的高手还有更多方法入侵你的服务器，这
需要大家加倍努力去学习防黑技术，也希望高手们对我的评论给予指点，修正出更好的解决方案，对玩家的数据做出更有力的保障~~~

我个人做戴尔技术支持和销售也有8年了，期间接触过大大小小，各种公司，企业，和单位。云服务器的好处到底是那些，我不想细说了，就说说为什么中小企业喜欢自己搞独立服务器。

1成本。我举个简单例子，我手上有个客户，是当地做服装批发，他们公司负责服装的设计和销售，生产是交给其他工厂代工的。在云南省几乎遍布全省吧，采用的是加盟店形势，目前全省加盟店铺大概120多家，所有加盟店铺都采用电脑收银入库，所有信息都需要反馈到他们总公司的服务器。当时他们老板找到我的时候，是要求按照将来200个点的数量来设计服务器配置，运行的是某ERP管理软件，系统要求WINDOWS。

我跟他们公司的技术员沟通后，当时采用的配置是：i7-4770处理器32GB内存Z97主板固态硬盘128GB+2000GBX2个，显卡用的GT7302G独立显卡，普通塔式服务器和长城金牌额定500瓦电源，系统当时装的SERVER2008。整个服务器算下来，记得当时给他是7000多吧，哪老板买了两台一模一样的，其中一台还给配了显示器。可能很多人会笑，为啥搞桌面级配置，而不是服务器配置。但是事实就是这样，虽然看上去现在这个客户终端有120多个店，但是实际平时也就是并发40-50左右的IP链接，就算以后他的店铺扩展到200个，也没什么问题，就性能而言完全足够。

同时价格也是最实惠的，买两台的目的，是因为他们公司一台做主服务器，另外一台做热备份的，做热备的那台服务器，技术员要拿来打打LOL，看看。。我给他们两台开启了IP自动切换，一台出现问题，另外一台自动接手，就这么简单搞定。再加上他们老板接的电信50M上传速度的光纤和每台服务器配置的UPS，实际上的投资，第一年的成本2万块就可以搞定了，以后就是光纤费和电费，一年撑死了也就几千多，这就是成本优势。不然他们公司养着技术员，就用来装系统吗？

2安全这个安全，我指的是数据的安全性，他们公司的服务器全部做了RAID1阵列，两台做备份，数据因为硬件损坏的可能性非常低。最重要的是他们公司内部的资料不想让任何其他公司的人知道，尤其是客户，客户销售业绩等等，这些都是属于商业机密的。你说云服务器，我凭什么相信你阿里云就一定有职业道德？说句难听点，就是阿里云或者什么云，偷偷给你把资料拿去卖了，你有证据来证明吗？你企业有哪个功夫去跟他们这种巨无霸公司打官司不？所以就安全性和成本等多方面考虑，中大型企业，都是自己做自己的服务器，很少有去搞云服务器的。

还不谈就我刚才哪个客户的服务器配置，你按照阿里云的价格来试试看，看看一年是多少钱，我相信你看了后，一定很酸爽。最主要这种级别的企业，都是上百台电脑最低，都是有自己的技术部门的，不搞服务器，养他们干嘛？都给辞退了吗？辞退了，然后万一公司那台电脑坏了，再花钱找人来修不耽误工夫么。

阿里云服务器能抗ddos吗？可以抗多少流量的ddos？是部分担心遭到DDOS攻击的用户比较关心的问题，因为网站遭遇到DDoS攻击是很多用户非常烦恼的事情，网站一旦遭到DDOS攻击很容易导致网站无法访问而又难以解决，阿里云服务器都有一定的DDoS基础防护，下面我们一起看看！

阿里云服务器能抗ddos吗？
阿里云服务器根据地域和配置的不同，可以免费抗一定流量的DDOS攻击，但是超过初始黑洞触发阈值就抗不了了，会进入黑洞。

阿里云服务器可以抗多少流量的ddos？
用户在购买阿里云服务器之后，云盾DDoS基础防护会为用户提供一定的DDoS基础防护，各个地域默认初始黑洞触发阈值如下表所示（单位：bps）。

参考资料：

DDOS防护

默认的黑洞时长是25个小时，黑洞期间不支持解封。 实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响：

从以上信息，我们可以知道，阿里云服务器根据地域和配置的不同，可以免费抗一定流量的DDOS攻击，但是超过初始黑洞触发阈值就抗不了了，会进入黑洞，因此，如果DDOS流量过大，还是需要用户自己采取一些措施或者付费买DDOS防护等产品。 点此进入阿里云DDoS防护服务 ：获取更高的带宽清洗能力并将防御前置到网络边缘。包含DDoS高防(新BGP)、DDoS高防(国际)、DDoS原生防护、游戏盾等

作为用户，我们应该如何防止云服务器被DDOS？
我们在使用阿里云服务器的时候，我给出几个建议。
1、挂cdn隐藏IP，在换成新的ip后，请务必挂cdn对真实的ip进行隐藏。

参考资料：

阿里云CDN-内容分发网络-CDN网站加速
2、cdn还可以不止套一层，可以多层一起嵌套。
3、准备多个服务器做反向代理（配置可以不高能运行nginx就行，最好是那种空路由时间短的），每个反向代理服务器都指向主服务器节点，都绑定一个二级域名，都挂上不同的cdn。
4、主域名可以随时解析到任意一个反向代理服务器，并且可以挂免费的云监控来实时知晓状态，一个节点死了改解析就行。
5、在防火墙层面禁止所有的国外ip（这是大部分肉鸡主要来源），可以很好的降低攻击流量。
以上是比较简单，低成本的方法，如果钱多的话，建议购买阿里云高防IP和高防CDN等防御产品，这样针对不同场景不同的环节也有针对性的防御方案。

---