众所周知cc攻击是ddos攻击的一种变相攻击模式,攻击者利用网络传输协议中的三次握手漏洞产生大量的无效链接使资源被耗尽,最终导致服务不能正常运行而达到攻击目的。本文为大家收集了多种服务器针对cc攻击的防护策略,希望能够对正在遭受CC攻击的朋友产生帮助。
针对cc攻击防护策略
针对cc攻击防护策略,一定要有针对性,这里采用的策略就是封掉产生过多链接的ip
针对该策略,我们推荐一款防止ddos攻击的软件DDoS-Deflate,安装使用方式如下:
(一)安装DDoS-Deflate
(1)下载安装脚本
wget http://www.inetbase.com/scripts/ddos/install.sh
1
(2)安装 DDoS-Deflate
./install.sh
1
…..下面是安装过程,很快….
Installing DOS-Deflate 0.6
Downloading source files………done
Creating cron to run script every minute…..(Default setting)
….下面是发布协议….
….
这样 DDoS-Deflate,就安装好了
(二)配置和使用
(1)了解 DDoS-Deflate 软件的文件分布
DDoS-Deflate 安装好之后,默认全部在 /usr/local/ddos/ 目录下
文件说明:
ddos.conf – DDoS-Deflate 的配置文件,其中配置防止ddos时的各种行为
ddos.sh – DDoS-Deflate 的主程序,使用shell编写的,整个程序的功能模块
ignore.ip.list – 白名单,该文件中的ip超过设定的连接数时,也不被 DDoS-Deflate 阻止
LICENSE – DDoS-Deflate 程序的发布协议
(2)配置 ddos.conf
PROGDIR=”/usr/local/ddos” #目录
PROG=”/usr/local/ddos/ddos.sh” #脚本路径
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”#白名单
CRON=”/etc/cron.d/ddos.cron” #/计划任务路径 默认是每分钟执行一次ddos.sh
APF=”/etc/apf/apf” //apf防火墙路径
IPT=”/sbin/iptables” //防火墙地址
FREQ=1 #DDoS-Deflate通过linux的计划任务执行,默认为每分钟一次
NO_OF_CONNECTIONS=150 #定义单个IP达到多少连接时规定为这是一次ddos攻击
APF_BAN=0 #这里为 “0”,表示使用iptables,而不是APF
KILL=1 #是否阻止被定义为ddos攻击的ip,“1”为阻止,“0”为不阻止
EMAIL_TO=”XXX@XXX.com” #通知邮箱地址
BAN_PERIOD=600 #在黑名单中待多少秒
(3)使用ddos.sh
使用“-h”选项显示该命令的提供的选项和功能简介
因为安装的时候默认就执行了: ./ddos –cron 了,所以我们什么也不需要做了
./ddos.sh -h
1
OPTIONS:
-h | –help: Show this help screen
-c | –cron: Create cron
job to run this script regularly (default 1 mins)
-k | –kill: Block the offending ip making more
than N connections
(4)测试防ddos攻击效果
NO_OF_CONNECTIONS=3 #这里为了方便测试,设置为3。生产环境下,几十到几百都可以理解为正常,上千肯定就是不正常了,除非是应用内部各个服务器之间的通信
通过一台固定ip的机器ssh连接该服务器,当连接到超过3甚至更多时,不会立刻显示连不上,因为ddos.sh默认一分钟运行一次,当过不到一分钟时,会发现连接掉了,查看部署了防ddos软件的服务器上可以看到iptables的策略中多了:
DROP all – 31.210.16.29.broad.cs.gd.dynamic.163data.com.cn anywhere
说明确实生效了,当10分钟后,iptables上这条策略会被取消的
(5)关于如何查看单个IP的连接数目可以通过如下命令查看,依次排列:
netstat -na|grep ESTABLISHED|awk ‘{print 5}'|awk -F: '{print5}'|awk -F: '{print1}’|sort|uniq -c|sort -r -n
…………..
40 127.0.0.1
1 121.9.252.28
1 173.117.140.69
cc攻击防护策略
这里再介绍一些cc攻击防护策略。
(1).取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,攻击者在攻击工具中设定攻击对象为该域名然后实施攻击。
对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开"IIS管理器"定位到具体站点右键"属性"打开该站点的属性面板,点击IP地址右侧的"高级"按钮,选择该域名项进行编辑,将"主机头值"删除或者改为其它的值(域名)。
经过模拟测试,取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。
(2).域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。
另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。
现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。
(3).更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点"属性"面板,在"网站标识"下有个TCP端口默认为80,我们修改为其他的端口就可以了。
(4).IIS屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在相应站点的"属性"面板中,点击"目录安全性"选项卡,点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单",也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中,就屏蔽了该IP对于Web的访问。
预防cc攻击策略
再为大家推荐另外一个预防cc攻击策略。
1、优化代码
尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销。减少复杂框架的调用,减少不必要的数据请求和处理逻辑。程序执行中,及时释放资源,比如及时关闭mysql连接,及时关闭memcache连接等,减少空连接消耗。
2、限制手段
对一些负载较高的程序增加前置条件判断,可行的判断方法如下:
必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);必须具有正确的referer(可有效防止嵌入式代码的攻击);禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征);同一session多少秒内只能执行一次。
3、完善日志
尽可能完整保留访问日志。日志分析程序,能够尽快判断出异常访问,比如单一ip密集访问;比如特定url同比请求激增。
防cc攻击策略
最后在为大家介绍一个简单的防cc攻击策略。
1. 利用Session做访问计数器:
利用Session针对每个IP做页面访问计数器或文件下载计数器,防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。(文件下载不要直接使用下载地址,才能在服务端代码中做CC攻击的过滤处理)
2. 把网站做成静态页面:
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。
3. 增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!
《强化 TCP/IP 堆栈安全》。也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN Cookies》。
如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
另外,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理发送,这样对外显示的IP是代理的IP地址。
5、下载服务器安全狗
服务器安全狗有三层网络防护,能够实时保护网络安全,具有强有力的网络防护,实时监测IP和端口访问的合法性,实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。
下载地址:http://free.safedog.cn/server_safedog.html
关于服务器针对cc攻击的防护策略,就为大家介绍到这里,服务器安全不容忽视,也许现在风平浪静,但是一旦遭受攻击,就会造成不必要的损失,因此在平时一定要慎重对待。
原文链接:https://www.safedog.cn/news.html?id=3958
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23293
