最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

DD攻击与CC攻击有何区别? 如何判断网站是否被CC或DD攻击了

XAMPP新闻 admin 396浏览 0评论

相信你一定会有这样的体验:当某款商品限量发售的时候,你发誓你一定要抢到他,你断开了家里所有设备的网络连接,只为了自己的手机能更快一点。你目不转睛地盯着手机看着时间一点一点地向发售时间逼近,突然时间到了,你毫不犹豫的按下购买,但弹出的却是“活动太火爆,请你稍后再试!!”,与此同时你发现平常很快就能打开的网页突然就变得奇慢无比,再气愤之余不妨仔细思考,发生这种现象的原因是为何。

其实原因很简单,因为一个网页访问人数特别多的时候,而且是那种需要不停的进行数据操作的时候,服务器资源已经饱和了。这时候你再想去连接,已经没有多余的资源分配给你了,就造成了这一现象。但如果这一现象我们可以人为控制,那么又会造成什么结果呢。本期美创安全实验室将带大家了解一下由上述演变的攻击方法—-CC攻击和DD攻击。

 

DD攻击与CC攻击究竟是什么

DD攻击是DDos攻击的缩写,全称是分布式拒绝服务攻击(Distributed Denialof Service)。DDos攻击是在传统Dos攻击基础之上,集合了分布式技术而生的一种变种攻击方式。主要攻击原理就是利用目标系统网络服务功能存在缺陷或者直接消耗该服务器的系统资源,使得该目标系统无法提供正常的服务。

eY7

简单来收DDos攻击就是用大量的傀儡机或者僵尸网络,向服务器发送合理的服务请求流量,导致服务器的大量带宽资源被占满而无法给真正的用户提供网络服务。DDos一直被认为是“流氓攻击“,因为它并不需要很高的技术含量,至今也没有什么有效的防御方法,目前还是世界性难题。

攻击者进行DDos攻击,实际上是让服务器实现两种效果:一是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接;二是迫使服务器的缓冲区或带宽资源被占满,不再接受新的请求。

而CC攻击也算是DD攻击的又一个变种。CC攻击全称叫“挑战黑洞“(ChallengeCollapsar),至于为什么叫这个名字,说来有趣,以前人们为了抵抗DDos攻击而发明了一款安全设备名叫黑洞,而“挑战黑洞”顾名思义就是说黑洞在面对这种攻击时毫无办法。

eY07
CC攻击的原理其实也很简单,就是通过代理服务器或者大量“肉鸡”模拟多个用户访问网站的动态页面,同时制造大量的后台数据库查询动作,消耗目标服务器的CPU资源,从而造成拒绝服务攻击。至于为什么“黑洞”在面对DDos攻击时有效而面对CC攻击时无效,究其根本在于CC攻击本身的请求是完全正常的请求。在访问动态网页时,由于攻击者模拟的是完全正常的请求,只不过在短时间内请求数量过于庞大,造成服务器资源吃紧。普通的安全设备无法分辨此行为与正常行为的区别。

 

CC攻击与DD攻击的区别在哪里

根据前面关于CC攻击与DD攻击的定义,我们感觉这两种攻击方式有点相似但又有点不同。好像都是通过大量的访问请求,耗尽系统资源从而达到拒绝服务的目的。但是仔细剖析一下,就会发现其中的不同之处。

DDos攻击的主要目标是服务器,是在网络层的一种针对本源的攻击。DDos不关心服务器上具体运行着什么应用,只针对服务器,利用大量肉鸡的流量去请求访问,这些访问请求可以不是正常的请求流量,可以包含很多无用信息,只要数量足够庞大,就会把服务器的带宽资源占满,从而达到目标。所以传统上所指的DDos一般是指流量攻击,如果目标服务器本身带宽够大,就可以硬抗下来。

CC攻击与DDos在攻击目标上略有不同。CC攻击是在应用层上的拒绝服务攻击,他主要针对的是网站的页面。利用直接攻击或代理攻击的方法。直接攻击是针对存在重大缺陷的WEB应用程序;代理攻击是利用一批代理服务器,同时并发的发送大量访问请求,并在请求发出后断掉与代理的连接,使得可以不停的重复此步骤,最终达到拒绝服务的效果;

从请求数据包的角度来说,DDos攻击可以使用无意义的数据包用于访问请求,反观CC攻击则必须采用正常的、有效的、无法拒绝的请求数据包。而且CC攻击的IP都必须是真实的,分散的。同时CC攻击会伪造大量的并发连接,不断访问一个需要数据库操作的页面,大量消耗CPU资源,导致CPU负载超过100%。

总的来说,虽然CC攻击和DD攻击最终的目的都是要耗尽服务器的资源,但由于攻击对象不同,所处层级不同,攻击方式不同,数据包要求不同以及消耗目的系统资源的种类不同等因素产生了差异。两种攻击相比较而言,CC攻击比DD攻击更难防御,因为CC攻击是模拟正常用户访问网站的请求而伪造的合法数据包。

 

如何判断是否被CC或DD攻击了

根据前面的描述,CC攻击主要是针对系统资源的耗尽,虽然CC攻击有很多种实施方式,但是我们可以通过抓包分析,以及对系统资源的检查来确认自己是否被CC攻击了。

消耗CPU资源
这种情况一般是攻击者伪造了大量的并发连接,不断刷新网站的动态页面。例如攻击者控制了50个代理,然后每个代理同时发出100个请求,这样WEB服务器会同时收到5000个并发请求,同时攻击者在请求发出后立即断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,这样一来正常的请求就会被排在很后面被处理,就会出现页面打开极其缓慢甚至无法打开的情况。

 

消耗内存资源
这种情况有可能是黑客在一个与数据库交互的页面不断刷新的结果。比如一些论坛用户登录的时候需要去数据库查询一些个人信息。当搜索量变大后内存就会被占满,就会出现静态页面资源已经被加载出来但是动态的资源一直卡着的情况。

消耗I/O资源

当一个网站上存在着上传或下载功能时,极有可能出现I/O资源耗尽的情况。主要是因为黑客不停的使用并发连接,向服务器上传或下载文件,导致磁盘资源占满,服务卡死。

消耗带宽资源

这种情况一般出现在DD攻击中,DD攻击由于发送了大量的无用数据包,形成了一种很大的流量,在目标服务器上根据带宽速度查看流量的占用多少,如果流量占满了,服务器可能直接丢包掉线或者网站一点都打不开。

 

CC攻击的防御方法

域名欺骗

如果经过排查发现是针对域名的CC攻击,那么我可以修改域名解析表,将网站域名解析到本地地址如127.0.0.1上或者国家有权威的政府网站或者备用服务器上。当然,部分想要正常访问的用户也会受到影响,但既然都已经被CC攻击了及时阻止攻击行为才是当务之急。
一般情况下,WEB服务器都是通过80或8080等默认端口对外提供服务,因此攻击者实施攻击就以默认的端口进行攻击。所以,我们可以修改WEB端口达到防CC攻击的目的。

IIS屏蔽IP

封禁IP算是比较有效的防御手段,我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对WEB站点的访问,从而达到防范IIS攻击的目的。

页面静态化

与数据缓存一样,页面数据本质上也属于数据,常见的手段是生成静态化的html页面文件,利用客户端浏览器的缓存功能或者服务端的缓存服务,以及CDN节点的缓冲服务,均可以降低服务器端的数据检索和计算压力,快速相应结果并释放连接进程。

转载请注明:XAMPP中文组官网 » DD攻击与CC攻击有何区别? 如何判断网站是否被CC或DD攻击了

您必须 登录 才能发表评论!