议题作者：sorryle
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

我查看了一下apache log文件,象下面这样的很可疑:

61.48.11.23 - - [06/Apr/2006:08:33:51 +0800] "" 200 410

"" 200 410这样的纪录有4000多条,对应的ip在没有其他页面的request,是不是这个ip就是攻击者用的代理服务器呢

如果上面的纪录不是cc攻击,那么cc页面攻击在log文件里面的纪录特点是什么,在apache log里面是什么样的纪录呢

softbug和Fr.qaker两位老大 请您帮忙分析一下

进行CC攻击一般都是刷那些服务器运算量比较大的页面，还有那些调用数据库的页面。
你的首页是动态的吗？如果是静态的根本就没有必要去刷，因为效果太小。

1.确定访问的时间段
2.确定对方IP地址段来源
因为你只是说了在日志里面有4000多条
而没有说你的日志是多久生成一次或者这4000条记录的分布情况
如果是一个月中的4000多条。那么就很正常了。如果是一个小时内的。就很不正常了。
所以确定访问的时间间隔是很重要的。
还有如果对方IP是某个网段，比如某某地区的ADSL，那么比较可疑
如果是某个网吧。那就没有什么问题

至于CC，那是有许多IP连接你的服务器。而不止一个的。
如果只有特定IP访问量特别大，那肯定不是CC

BTW：

IP ： 61.48.11.23
地址： 北京市 网通ADSL

<%if Request.ServerVariables("HTTP_X_FORWARDED_FOR")<>"" or Request.ServerVariables("HTTP_VIA")<>"" or Request.ServerVariables("HTTP_CONNECTION")<>"Keep-Alive" or (Request.ServerVariables("HTTP_CONNECTION")="keep-alive" and instr(Request.ServerVariables("HTTP_USER_AGENT"),"Linux")<=0) then
response.write "您有对本站进行CC攻击ㄉ嫌疑，所以屏蔽了此连接，如有问题请和管理员联系！"
response.end
end if%>
这个是我弄的，不知道效果怎么样

如果那样的话，用户不能通过HTTP proxy访问你的站点了。而且高明点的攻击者完全可以选择socks4a/5或elite proxy来攻击

accept_filter(9)

如果你的站是建立在IIS的基础上的,可以用VIF试一下，虽然有一定的弊端，但是效果很明显.

对于Apache上面的附加产品,我们会考虑更新产品,增加对APACHE的支持!

这是我找到的一段，但是是关于IIS的，以前我这问题也很严重，得到这里众多朋友的关注，情况好多了
<%
if session("refresh") <> 1 then
session("refresh")=session("refresh")+1
response.Redirect("index.asp")
end if
if request.ServerVariables("HTTP_X_FORWARDED_FOR")<>"" then
response.write "本站不能使用代理访问！谢谢合作！"
response.end
end if
%>