什么是CC攻擊,如何防止網(wǎng)站被CC攻擊的方法總匯

CC攻擊(Challenge Collapsar)是DDOS(分布式拒絕服務)的一種,也是一種常見的網(wǎng)站攻擊方法,攻擊者通過代理服務器或者肉雞向向受害主機不停地發(fā)大量數(shù)據(jù)包,造成對方服務器資源耗盡,一直到宕機崩潰。
CC攻擊的攻擊技術(shù)含量低,利用工具和一些IP代理,一個初、中級的電腦水平的用戶就能夠?qū)嵤┕簟2贿^,如果了解了CC攻擊的原理,那就不難針對CC攻擊實施一些有效的防范措施。
通常防止CC攻擊的方法有幾種,一個是通過防火墻,另外一些網(wǎng)絡公司也提供了一些防火墻服務,例如XX網(wǎng)站衛(wèi)士和XX寶,還有一種方法是自己寫程序預防,昨天網(wǎng)站遇到CC攻擊,這也讓我嘗試了一下各種防止CC攻擊方法的有效性。
一開始我想使用某某網(wǎng)站衛(wèi)士來預防攻擊,從界面上看,似乎是防止了大量的CC攻擊,但登錄網(wǎng)站后發(fā)現(xiàn),流量依舊異常,攻擊還是依舊,看起來這個網(wǎng)站衛(wèi)士的效果并沒有達到。
從原理上看,基本上所有的防火墻都會檢測并發(fā)的TCP/IP連接數(shù)目,超過一定數(shù)目一定頻率就會被認為是Connection-Flood。但如果IP的數(shù)量足夠大,使得單個IP的連接數(shù)較少,那么防火墻未必能阻止CC攻擊。
實際上,通過分析網(wǎng)站日志,還是很容易分辨出哪個IP是CC攻擊的,因為CC攻擊畢竟是通過程序來抓取網(wǎng)頁,與普通瀏覽者的特性區(qū)別還是很大的,例如普通瀏覽者訪問一個網(wǎng)頁,必定會連續(xù)抓取網(wǎng)頁的HTML文件、CSS文件、JS文件和圖片等一系列相關(guān)文件,而CC攻擊者僅僅只會抓取一個URL地址的文件,不會抓取其他類型的文件,其User Agent也大部分和普通瀏覽者不同,這就可以在服務器上很容易分辨出哪些訪問者是CC攻擊了,既然可以判斷出攻擊者的IP,那么預防措施就很簡單,只需要批量將這些IP屏蔽,即可達到防范CC攻擊的目的。
最終,我花了半個小時寫了一段小程序,運行之后自動屏蔽了數(shù)百個IP,網(wǎng)站才算正常,從而證明,防火墻對于CC攻擊的防御并不有效,最有效的方法還是在服務器端通過程序自動屏蔽來預防。
看來CC攻擊的門檻還真低啊,搞個幾百個代理或者肉雞就能攻擊別人了,其成本非常低,但效果比較明顯,如果攻擊者流量巨大的話,通過耗費帶寬資源的方式都可以進行攻擊。但是,CC攻擊也有明顯的技術(shù)缺陷,就是攻擊者的IP并不是海量的,通常就是幾百數(shù)千的級別,并且是真實訪問了網(wǎng)站頁面,這就使得網(wǎng)站可以通過程序過濾的方式,輕松獲取到這些攻擊者IP,批量進行屏蔽,那么這種CC攻擊就會得到防。
IIS專家CC防御系統(tǒng) 這是一款針對CC防御效果還是不錯的軟件,現(xiàn)在推薦給大家
IIS專家
下載地址:http://www.dbjr.com.cn/softs/43858.html
以下對IIS專家CC防御功能進行演示
CC攻擊,與DDOS、UDP、SYN Flood并為當今最流行的四大攻擊方式,硬件防火墻防御UDP等效果較好,但對于CC這種全連接攻擊,軟件防御更占優(yōu)勢;
CC防御的原理概括:利用代理或者肉雞的方式,對某服務器某個(某些)消耗資源較大的處理過程(文件)進行大量請求,遠遠超出服務器的處理能力,導致服務器癱瘓,無法響應正常請求;
基本特征:可以通過cmd命令:netstat –an查看當前TCP連接數(shù),如果發(fā)現(xiàn)許多重復的等待連接數(shù),如“TCP 211.87.147.4:80 220.10.69.67:2205 SYN_RECEIVED 4”,并且服務器CPU一直100%,帶寬使用也很高,停止網(wǎng)絡服務后CPU使用恢復正常,這種情況基本可以斷定為CC攻擊。
IIS專家的CC防御,相比其它軟件的防御,有著智能防御的優(yōu)勢,不影響正常用戶的訪問,我們接下來進行演示:
一、 CC防御基本信息設置
我們先設置CC防御后發(fā)送到客戶端瀏覽器的提示信息,如圖1:
圖1 設置CC攻擊攔截提示信息
接下來對CC防御基本參數(shù)進行設置,圖2:
圖2 CC防御基本參數(shù)設置
關(guān)于防御性能指數(shù),如果不能防御CC,我們可以設置的更低一些,比如8-15之間即可。
設置好后,讓我們繼續(xù):
二、 拒絕代理訪問:
1、 普通CC利用代理發(fā)動攻擊,我們選中圖2中的【拒絕所有代理訪問】就可以很好的防止代理訪問的攻擊。設置好瀏覽器的代理,打開測試頁面,如圖3:
圖3 禁止代理訪問服務器示意圖
三、 防御惡意刷新演示:
1、 圖2中,設置單IP連接數(shù)訪問上限為15(表示每個IP一秒內(nèi)允許對某個頁面進行15次請求),超過該上限即認為惡意刷新,系統(tǒng)進行攔截,如圖4:
圖4 攔截單IP惡意刷新示意圖
該IP被攔截后,根據(jù)圖2的【防御解鎖時間】,該時間過后該IP自動解封,如果繼續(xù)發(fā)動攻擊,則繼續(xù)重新攔截!攔截后,能立即生產(chǎn)攔截日志:blacklist_ip.log
四、 防御肉雞攻擊演示(以半自動過濾為例):
比較高級的CC攻擊,除了使用代理,也使用肉雞的方式進行攻擊,導致服務器不堪重負,IIS專家如果發(fā)現(xiàn)肉雞攻擊,立即會要求訪問該頁面的用戶輸入驗證,驗證后用戶可以正常訪問,同時,服務器其他未被攻擊的頁面可以照常訪問,絲毫無影響,圖5:
圖5 輸入驗證碼后即可正常訪問
該頁面被防護后,根據(jù)圖2的【防御解鎖時間】,該時間過后該頁面的防御自動解除,如果繼續(xù)被攻擊,則IIS專家將對該頁面繼續(xù)重新防護!攔截后,能立即產(chǎn)生日志:blacklist_cc.log
五、 IP黑名單:
對于不信任的IP,可以將其直接加入黑名單,阻止對服務器進行訪問,如圖6:
圖6 設置IP黑名單
設置IP“127.0.0.1”到黑名單,通過該IP訪問的用戶就會被攔截,如圖7:
圖7 攔截IP示意圖
CC防御后,IIS專家會記錄攻擊日志,如圖5:
圖5 在主控端看到的CC防御日志
六、 總結(jié):
1、 IIS專家測試過成功防御8000TCP連接攻擊;
2、 CC防御效果與很多因素有關(guān)系,包括防御規(guī)則設置、服務器本身參數(shù)、非法用戶攻擊對象、非法用戶攻擊方式等;
3、 為了更加人性化,IIS專家不會魯莽地對正常用戶進行拒絕, 而白名單制度很好的解決了這個問題;
相關(guān)文章
什么是CC攻擊 判斷網(wǎng)站是否被CC攻擊并且如何防御CC攻擊
CC主要是用來攻擊頁面的,大家都有這樣的經(jīng)歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,打開頁面的速度會比較慢,對不?!一般來說,訪問的人越多,論壇的頁2024-01-06Windows系統(tǒng)安全風險-本地NTLM重放提權(quán)
入侵者主要通過Potato程序攻擊擁有SYSTEM權(quán)限的端口偽造網(wǎng)絡身份認證過程,利用NTLM重放機制騙取SYSTEM身份令牌,最終取得系統(tǒng)權(quán)限,該安全風險微軟并不認為存在漏洞,所以2021-04-15- 這篇文章主要介紹了文件上傳漏洞全面滲透分析小結(jié),這里主要為大家分享一下防御方法,需要的朋友可以參考下2021-03-21
- 這篇文章主要介紹了sql手工注入語句&SQL手工注入大全,需要的朋友可以參考下2017-09-06
- 這篇文章主要介紹了詳解Filezilla server 提權(quán),需要的朋友可以參考下2017-05-13
FileZilla Server 2008 x64 提權(quán)與防御方法
這篇文章主要介紹了FileZilla Server 2008 x64 提權(quán)與防御方法,需要的朋友可以參考下2017-05-13https加密也被破解 HEIST攻擊從加密數(shù)據(jù)獲取明文
不久之前我們說過關(guān)于http和https的區(qū)別,對于加密的https,我們一直認為它是相對安全的,可今天要講的是,一種繞過HTTPS加密得到明文信息的web攻擊方式,不知道這消息對你2016-08-10iPhone和Mac也會被黑 一條iMessage密碼可能就被盜了
一直以來蘋果系統(tǒng)的安全性都是比安卓要高的,但是再安全的系統(tǒng)也免不了漏洞,蘋果也一樣。最近爆出的新漏洞,只需要接收一條多媒體信息或者iMessage就會導致用戶信息泄露。2016-07-27- 國家正在修正關(guān)于黑客方面的法律法規(guī),有一條震驚黑客圈的“世紀佳緣”起訴白帽黑客事件,深深的傷害了廣大黑客們的心,加上扎克伯格和特拉維斯·卡蘭尼克賬號被盜,于是黑2016-07-11
如何逆向破解HawkEye keylogger鍵盤記錄器進入攻擊者郵箱
面對惡意郵件攻擊,我們就只能默默忍受被他攻擊,連自我保護能力都沒有談什么反抗?讓人痛快的是,如今有了解決辦法,逆向破解鍵盤記錄器,進入攻擊者郵箱2016-07-06