CC(Challenge Collapsar)攻击是ddos攻击的一种,是指攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装。这种攻击你见不到真实源IP,见不到特别大的异常流量,但会造成服务器无法进行正常连接。
cc攻击与DDOS的区别
DDoS是针对IP的攻击,而CC攻击的是服务器资源。
CC攻击的种类:
CC攻击的种类有三种,直接攻击、僵尸网络攻击、代理攻击。
直接攻击主要针对有重要缺陷的WEB应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。
僵尸网络攻击有点类似于ddos攻击了,从WEB应用程序层面上已经无法防御。
代理攻击是指CC攻击者一般会操作一批代理服务器,比方说100个代理,然后每个代理同时发出10个请求,这样WEB服务器同时收到1000个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时WEB服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就像本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。
CC攻击的特点是什么?
模拟多个用户不停的进行访问,主要表现为以下两种形式:
1、访问有大量图片或音视频内容的页面。
这种是目前使用最普遍也是最简单的攻击方式。不需要去分析被攻击网站的实际内容,直接对某个页面发起攻击就能起作用。如果你的网页其中一面有256Kbyte (包括所要打开的图片等内容),那么就需要1Mbit/s的带宽2秒时间来打开。而客户发送给服务器的请求包长最多就 1Kbyte,所以攻击比例是256倍。
同时有100个客户来点开这个页面的话,就需要有100Mbit/s 的带宽来支持。客户都能在2秒钟内打开这个网站。这100个客户发起访问所需的带宽才100Kbyte X 8=0.8Mbit/s 。这样看来1M不到的带宽来攻击网站,网站得准备有100M的带宽来应付。
2、访问那些需要大量数据操作,如搜索页面,就是需要大量CPU时间的页面。
这种就是占用完你的cpu,让合法的请求埋没大量的攻击请求中。这是以前的高水平的黑客喜欢使用的方法。因为只需要很少的带宽(小于1M)就可以让你的100M甚至1G的带宽的网站立即挂掉。
CC攻击的原理是什么?
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
也可以把它理解为是王者荣耀中的扁鹊英雄,敌人都会把他叫做“毒奶”,因为只要受到他的攻击,就会持续掉血,严重的会直接“耗死”。
CC攻击防御
攻击靠演技,防护当然是靠火眼精睛叻。
防御思路
HTTP/CC 攻击 防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。当高级攻击者穿透缓存时,清洗设备会截获 HTTP 请求做特殊处理。因为CC攻击通过工具软件发起,而普通用户通过浏览器访问,这其中就会有某些区别。想办法对这二者作出判断,选择性的屏蔽来自机器的流量即可。
普通浏览器发起请求时,除了要访问的地址以外,Http头中还会带有Referer,UserAgent等多项信息。遇到攻击时可以通过日志查看访问信息,看攻击的流量是否有明显特征,比如固定的Referer或UserAgent,如果能找到特征,就可以直接屏蔽掉了。
如果攻击者伪造了Referer和UserAgent等信息,那就需要从其他地方入手。攻击软件一般来说功能都比较简单,只有固定的发包功能,而浏览器会完整的支持Http协议,我们可以利用这一点来进行防御。
首先为每个访问者定义一个字符串,保存在Cookies中作为Token,必须要带有正确的Token才可以访问后端服务。当用户第一次访问时,会检测到用户的Cookies里面并没有这个Token,则返回一个302重定向,目标地址为当前页面,同时在返回的Http头中加入set cookies字段,对Cookies进行设置,使用户带有这个Token。
客户端如果是一个正常的浏览器,那么就会支持http头中的set cookie和302重定向指令,将带上正确的Token再次访问页面,这时候后台检测到正确的Token,就会放行,这之后用户的Http请求都会带有这个Token,所以并不会受到阻拦。
客户端如果是CC软件,那么一般不会支持这些指令,那么就会一直被拦在最外层,并不会对服务器内部造成压力。
高级
高级一点的,还可以返回一个网页,在页面中嵌入java script来设置Cookies并跳转,这样被伪造请求的可能性更小
Token生成算法:Token需要满足以下几点要求
每个IP地址的Token不同
无法伪造
一致性,即对相同的客户端,每次生成的Token相同
Token随IP地址变化是为了防止通过一台机器获取Token之后,再通过代理服务区进行攻击。一致性则是为了避免在服务器端需要存储已经生成的Token。
推荐使用以下算法生成Token,其中Key为服务器独有的保密字符串,这个算法生成的Token可以满足以上这些
无视CC攻击的防护方法是什么?
首先用户可以自己解决,比如提高主机处理性能,增加更多带宽,修改或者关闭在log里出现大量相同访问文件的页面,但这种处理效果很一般,有时没什么效果;其次就是求助IDC服务商,这种也是大部分用户会选择的方法,比如网盾高防IP转发服务不需要重新部署环境,转移数据,具备4Tbps高抗D+流量清洗功能,无视DDoS和CC攻击,隐藏源服务器IP,只需要快速做下转发设置,将攻击流量过滤清洗拦截,只让正常流量访问到源服务器,保证网站快速访问或服务器稳定可用。
原文链接:http://www.pdidc.com/n-r-help-4934.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/20775
