最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。
    你的位置:XAMPP中文组官网 > XAMPP新闻 > CC 攻击原理图_CC攻击5大常见防御方法

    CC 攻击原理图_CC攻击5大常见防御方法

    XAMPP新闻 admin 453浏览 0评论

    CC 攻击定义

    CC (ChallengeCoHapsar,挑战黑洞) 攻击是 DDoS 攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。CC 根据其工具命名,攻击者使用代理机制,利用众多广泛可用的免费代理服务器发动 DDoS 攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。

    eY07

    CC 攻击原理

    cc 攻击的原理就是攻击者控制某些主机不停的发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。cc 主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,cc 就是模拟多个用户(就是需要大量 CPU 时间)的页面,造成服务器资源的浪费,CPU 长时间处于 100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

     

    防 CC 攻击

    CC 攻击

    CC 攻击可以归为 DDoS 攻击的一种。他们之间的原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC 攻击又可分为代理 CC 攻击,和肉鸡 CC 攻击。代理 CC 攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现 DDoS,和伪装就叫:cc(Challenge Collapsar)。而肉鸡 CC 攻击是黑客使用 CC 攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。

     

    一个静态页面不需要服务器多少资源,甚至可以说直接从内存中读出来发给你就可以了,但是论坛之类的动态网站就不一样了,我看一个帖子,系统需要到数据库中判断我是否有读帖子的权限,如果有,就读出帖子里面的内容,显示出来 —— 这里至少访问了 2 次数据库,如果数据库的体积有 200MB 大小,系统很可能就要在这 200MB 大小的数据空间搜索一遍,这需要多少的 CPU 资源和时间?如果我是查找一个关键字,那么时间更加可观,因为前面的搜索可以限定在一个很小的范围内,比如用户权限只查用户表,帖子内容只查帖子表,而且查到就可以马上停止查询,而搜索肯定会对所有的数据进行一次判断,消耗的时间是相当的大。

     

    CC 攻击就是充分利用了这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量 CPU 时间的页面,比如 asp/php/jsp/cgi)。很多朋友问到,为什么要使用代理呢?因为代理可以有效地隐藏自己的身份,也可以绕开所有的防火墙,因为基本上所有的防火墙都会检测并发的 TCP/IP 连接数目,超过一定数目一定频率就会被认为是 Connection-Flood。当然也可以使用肉鸡发动 CC 攻击。肉鸡的 CC 攻击效果更可观。致使服务器 CPU100%,甚至死机的现象。

     

    攻击症状

    CC 攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受 CC 攻击呢?可以通过以下三个方法来确定。

    1、命令行法

    一般遭受 CC 攻击时,Web 服务器会出现 80 端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令 netstat -an 来查看,“SYN_RECEIVED” 是 TCP 连接状态标志,意思是 “正在处于连接的初始同步状态 ”,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的代理 IP 的攻击。

     

    2、批处理法

    上述方法需要手工输入命令且如果 Web 服务器 IP 连接太多看起来比较费劲,可以建立一个批处理文件,通过该脚本代码确定是否存在 CC 攻击。

    脚本筛选出当前所有的到 80 端口的连接。当感觉服务器异常时就可以双击运行该批处理文件,然后在打开的 log.log 文件中查看所有的连接。如果同一个 IP 有比较多的到服务器的连接,那就基本可以确定该 IP 正在对服务器进行 CC 攻击。

     

    3、查看系统日志

    Web 日志一般在 C:\WINDOWS\system32\LogFiles\HTTPERR 目录下,该目录下用类似 httperr1.log 的日志文件,这个文件就是记录 Web 访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否 Web 被 CC 攻击了。

    默认情况下,Web 日志记录的项并不是很多,可以通过 ⅡS 进行设置,让 Web 日志记录更多的项以便进行安全分析。其操作步骤是:“开始→管理工具” 打开 “Internet 信息服务器”,展开左侧的项定位到到相应的 Web 站点,然后右键点击选择 “属性” 打开站点属性窗口,在 “网站” 选项卡下点击 “属性” 按钮,在 “日志记录属性” 窗口的 “高级” 选项卡下可以勾选相应的 “扩展属性”,以便让 Web 日志进行记录。比如其中的 “发送的字节数”、“接收的字节数”、“所用时间” 这三项默认是没有选中的,但在记录判断 CC 攻击中是非常有用的,可以勾选。另外,如果你对安全的要求比较高,可以在 “常规” 选项卡下对 “新日志计划” 进行设置,让其 “每小时” 或者 “每一天” 进行记录。为了便于日后进行分析时好确定时间可以勾选 “文件命名和创建使用当地时间”。

     

    防御方法

    对于 CC 攻击.其防御必须采用多种方法,而这些方法本质上也是在提高服务器的并发能力。

     

    1、服务器垂直扩展和水平扩容

    资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对 CC 攻击的,而是提升服务本身处理并发的能力,但确实提升了对 CC 攻击的承载能力。垂直扩展:是指增加每台服务器的硬件能力,如升级 CPU、增加内存、升级 SSD 固态硬盘等。水平扩容:是指通过增加提供服务的服务器来提升承载力。上述扩展和扩容可以在服务的各个层级进行,包括:应用服务器、数据库服务器和缓存服务器等等。

     

    2、数据缓存 (内存级别,不要用文件)

    对于服务中具备高度共性,多用户可重用,或单用户多次可重用的数据,一旦从数据库中检索出,或通过计算得出后,最好将其放在缓存中,后续请求均可直接从缓存中取得数据,减轻数据库的检索压力和应用服务器的计算压力,并且能够快速返回结果并释放进程,从而也能缓解服务器的内存压力。要注意的是,缓存不要使用文件形式,可以使用 redis、mem—cached 等基于内存的 nosql 缓存服务,并且与应用服务器分离,单独部署在局域网内。局域网内的网络 IO 肯定比起磁盘 IO 要高。为了不使局域网成为瓶颈,千兆网络也是有必要的。

     

    3、页面静态化

    与数据缓存一样,页面数据本质上也属于数据,常见的手段是生成静态化的 html 页面文件,利用客户端浏览器的缓存功能或者服务端的缓存服务,以及 CDN 节点的缓冲服务,均可以降低服务器端的数据检索和计算压力,快速响应结果并释放连接进程。

     

    4、用户级别的调用频率限制

    不管服务是有登陆态还是没登陆态,基于 session 等方式都可以为客户端分配唯一的识别 ID (后称作 SID),服务端可以将 SID 存到缓存中。当客户端请求服务时,如果没有带 SID (cookie 中或请求参数中等),则由服务端快速分配一个并返回。可以的话,本次请求可以不返回数据,或者将分配 SID 独立出业务服务。当客户端请求时带了合法 SID (即 SID 能在服务端缓存中匹配到),便可以依据 SID 对客户端进行频率限制。而对于 SID 非法的请求,则直接拒绝服务。相比根据 IP 进行的频率限制,根据 SID 的频率限制更加精准可控,可最大程度地避免误杀情况。

     

    5、IP 限制

    最后,IP 限制依然可以结合上述规则一起使用,但是可以将其前置至) JCb 层的防火墙或负载均衡器上去做,并且可以调大限制的阈值,防止恶意访问穿透到应用服务器上,造成应用服务器压力。

     

    CC攻击的种类有四种:直接攻击,僵尸网络攻击,代理攻击,肉鸡攻击。
    被CC攻击的状况

    动态网站,比如asp/asp.net,在被CC攻击的情况下,IIS站点会出错提示SERVER IS TOO BUSY,如果不是使用IIS来提供网站服务,会发现提供网站服务的程序无缘无故自动崩溃,出错。

    静态网站,比如html,在被CC攻击的情况下,打开任务管理器,看网络流量,会发现网络应用里数据的发送出现严重偏高的现象,在大量的CC攻击下,甚至会达到99%的网络占用。

    小量CC攻击,则站点还是可以间歇性访问得到,但是一些比较大的文件、图片就会显示不出来,服务器的CPU占用率也会出现飙升的现象。这就是基本的CC攻击症状。

     

    防御方法

    (1) 完善日志:养成保留完整日志的习惯,通过日志分析程序,能够尽快判断出异常访问,同时也能收集有用的信息。
    (2) 取消域名绑定:一般cc攻击都是针对网站域名,对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体步骤是:打开“IIS管理器”定位到具体站点右键“属性”打开该站点的属性面板,点击IP地址右侧的“高级”按钮,选择该域名项进行编辑,将“主机头值”删除或者改为其它的值(域名)。

    缺点:取消或者更改域名对于别人的访问带来了不便,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。

     

    (3) 使用DDoS高防IP:高防IP是是针对互联网服务器在遭受互联网恶意攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP, 将攻击流量引流到高防IP,确保源站的稳定可靠。

    CC攻击的门槛低,成本不高,所以网站被恶意攻击的情况屡见不鲜,大家可以加装安全软件或者配合预防CC攻击的服务使用这样网站才会更加的安全。
    (4) 更改Web端口:通常情况下Web服务器通过80端口对外提供服务,因此攻击者也以默认的80端口进行攻击,所以修改Web端口可以防御CC攻击。运行IIS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,修改为其他的端口即可。
    (5) IIS屏蔽IP:我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问。在相应站点的“属性”面板中,点击“目录安全性”选项卡,点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。也可以在此窗口设置“授权访问”也就是“白名单”,也可以设置“拒绝访问”即“黑名单。

    转载请注明:XAMPP中文组官网 » CC 攻击原理图_CC攻击5大常见防御方法

    与本文相关的文章

    您必须 登录 才能发表评论!