如何在网站面对突如其来的攻击时进行有效的cc防护,是需要提前准备的。因为对于中小型网站来说,遇到突如其来的攻击只能被动的去防御。当我们访问一个网站时,如果网站页面越简单,访问速度越快,页面越漂亮,加载速度就越慢,因为要加载更多东西,服务器压力也会比较大。cc攻击就是利用这种弱点,使用大量代理服务器,对网站进行攻击,消耗网站服务器资源,例如宽带,cpu,内存等,导致服务器奔溃,正常用户无法访问。
CC攻击的原理
CC攻击没有很好的防护产品,非常容易得手,是因为CC攻击的原理是基于应用层的弱点进行攻击。而应用层的弱点,取决于各自应用平台的开发能力,因此难以具有通用性的CC防护方案。如Syn flood 主要是基于协议层和服务层的弱点开展攻击,早期的抗拒绝服务攻击产品也是基于此进行防护。简单举例,一个论坛系统,如果存在较多的分页,当一个蜘蛛程序,多并发高频次的进行大量翻页抓取时,已经产生了一种CC攻击。
应用层常见SQL代码范例如下(以php为例): s q l = " s e l e c t ∗ f r o m p o s t w h e r e t a g i d = ′ sql="select * from post where tagid=' sql="select∗frompostwheretagid=′tagid’ order by postid desc limit s t a r t , 30 " ; 当 p o s t 表 数 据 庞 大 , 翻 页 频 繁 , start ,30";当post表数据庞大,翻页频繁, start,30";当post表数据庞大,翻页频繁,start数字急剧增加时,查询影响结果集=$start+30; 该查询效率呈现明显下降趋势,而多并发频繁调用,因查询无法立即完成,资源无法立即释放,会导致数据库请求连接过多,导致数据库阻塞,网站无法正常打开。
性能不够优良的数据查询,不良的程序执行结构,比较消耗资源的功能,都可能成为CC攻击的目标,而执行方法可能是单机发起,也可能是通过肉鸡发起,还有可能通过高流量站点嵌入脚本(iframe嵌入或js嵌入)发起,基于高流量网站嵌入攻击代码的CC攻击,在目前互联网环境上来讲,更加无解。
CC的起源
攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS,和伪装就叫cc(ChallengeCollapsar)。其前身名为Fatboy攻击,Collapsar(黑洞) 是绿盟科技的一款抗ddos产品品牌,在对抗拒绝服务攻击的领域内具有比较高的影响力和口碑。 因此,存在这样一种拒绝攻击行为,可以将受到Collapsar (黑洞)防火墙保护的网站击溃,因此攻击发起者挑衅式的将其更名为Challenge Collapsar 攻击,简称CC攻击。
CC攻击方式
CC攻击可以归为ddos攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。
cc攻击的防御方法
防御CC攻击可以通过多种方法,禁止网站代理访问,尽量将网站做成静态页面,限制连接数量等。
1、使用限制手段进行CC防护
对一些负载较高的程序增加前置条件判断,可行的判断方法如下:a必须具有正确的referer(可有效防止嵌入式代码的攻击);b必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);c同一session多少秒内只能执行一次;d禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征)
2、取消域名绑定或域名欺骗解析
一般CC攻击都是针对网站的域名进行攻击,比如我们的网站域名是“www.ajsafe.com”,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标。
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样再多的肉鸡或者代理也会宕机。
3、静态页面
由于动态页面打开速度慢,需要频繁从数据库中调用大量数据,对于cc攻击者来说,甚至只需要几台肉鸡就可以把网站资源全部消耗,因此动态页面很容易受到cc攻击。正常情况静态页面只有几十kb,而动态页面可能需要从几十MB的数据库中调用,这样消耗情况就很明显了,对于论坛来说,往往就需要很好的服务器才能稳定运行,因为论坛很难做到纯静态。
4、禁止代理访问
攻击者是通过大量代理进行攻击,设置禁止代理访问,或者限制代理连接数量,也能起到一定的防护作用。
5、更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。
6、隐藏服务器ip,屏蔽攻击ip
使用cdn加速能隐藏服务器的真实ip,导致攻击者攻击不到真实ip。被cc攻击时服务器通常会出现成千上万的tcp连接,打开cmd输入netstat -an如果出现大量外部ip就是被攻击了,这时候可以通过命令或在查看日志,发现了CC攻击的源IP,就可以在防火墙中设置屏蔽该IP对Web站点的访问,从而达到CC防护的目的。高防cdn可以自动识别恶意攻击流量,对这些虚假流量进行智能清洗,将正常访客流量回源到源服务器IP上,保障源服务器的正常稳定运行。
总结
CC攻击,从运维角度上分析,要做到通用安全CC防护几乎是不可能的;但是还是可以做很多有效的防护的。只要有一定的警觉和认识,很多问题就可以避免,至少应对低量级的cc攻击,就不会束手无策。
深圳市飞博可科技有限公司是专业的网络安全高防公司,旗下无敌防护平台专注于DDoS流量攻击防护、CC防护等网络安全。公司总部位于深圳市南山高新技术产业园区,核心团队由前百度腾讯安全团队及电信运营商团队组成,旗下无敌防护平台是公司核心平台。
本文来自:https://www.zhuanqq.com/News/Industry/219.html
原文链接:https://blog.csdn.net/blublu7080/article/details/109380567?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169114730816800182193897%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169114730816800182193897&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-13-109380567-null-null.268%5Ev1%5Ekoosearch&utm_term=cc%E9%98%B2%E6%8A%A4
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21852