一�、什么是cc攻擊�?
CC = Challenge Collapsar�����,意為“挑戰(zhàn)黑洞”���,其前身名為Fatboy攻擊�,是利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務(wù)的目的����。業(yè)界之所以把這種攻擊稱為CC(Challenge Collapsar)���,是因為在DDOS攻擊發(fā)展前期�����,絕大部分的DDOS攻擊都能被業(yè)界知名的“黑洞”(Collapsar)抵擋住��,而CC攻擊的產(chǎn)生就是為了挑戰(zhàn)“黑洞”���,故而稱之為Challenge Collapsar。攻擊者通過代理服務(wù)器或者肉雞向向受害主機不停地發(fā)大量數(shù)據(jù)包��,造成對方服務(wù)器資源耗盡�����,一直到宕機崩潰�����。
二����、CC攻擊有那些類型��?
1.肉雞攻擊:黑客使用CC攻擊軟件���,控制大量肉雞模擬正常用戶訪問網(wǎng)站,偽造合法數(shù)據(jù)包請求�����,消耗服務(wù)器資源�����。
2.代理攻擊:黑客借助代理服務(wù)器生成指向受害網(wǎng)站(受害服務(wù)器)的合法網(wǎng)頁請求���,從而實現(xiàn)DOS和偽裝,相對肉雞攻擊更容易防御��。
3.SYN-CC攻擊:攻擊者直接使用高并發(fā)來請求目標導致目標網(wǎng)站或應用無法提供正常服務(wù)�,較為常見。
4.POST流量耗用型:攻擊者惡意提交數(shù)據(jù)交互導致服務(wù)中斷���,帶寬耗用很高,通常也會消耗掉大額的短信費用�。
5.模擬UA以及常規(guī)的百度偽裝:屬于常規(guī)偽裝攻擊�����,大部分網(wǎng)站攻擊中一般會出現(xiàn)偽裝百度的CC攻擊,非常普遍���。
6.瀏覽器漏洞CC請求攻擊:利用瀏覽器漏洞控制瀏覽器來發(fā)動攻擊���,該類攻擊不是偽裝,是真實請求�����,比較難防護的攻擊類型�。
7.路由盒子劫持攻擊:這類攻擊請求也是合法的��,且路由盒子量非常龐大�,較難防御�,但較少出現(xiàn)。
三���、怎么判斷自己被CC攻擊了
1.網(wǎng)站日志分析:查看網(wǎng)站日志文件�����,通常會發(fā)現(xiàn)大量的訪問請求來自同一IP或同一地區(qū)的多個IP地址�,并且這些請求都是在短時間內(nèi)集中發(fā)生的�����。這些請求可能就是CC攻擊的痕跡����。
2.CPU和內(nèi)存使用情況檢查:如果網(wǎng)站或應用的CPU和內(nèi)存使用情況異常高��,可能意味著被CC攻擊了��。因為CC攻擊會生成大量的合法請求��,這些請求會消耗服務(wù)器資源����,導致服務(wù)器負載增加�����。
3.網(wǎng)絡(luò)帶寬使用情況檢查:如果網(wǎng)絡(luò)帶寬使用量異常高����,尤其是某一地區(qū)的網(wǎng)絡(luò)帶寬使用量異常高,可能意味著被CC攻擊了�����。因為CC攻擊通常會通過代理服務(wù)器或肉雞模擬多個用戶訪問網(wǎng)站��,這些訪問會占用大量的網(wǎng)絡(luò)帶寬�。
4.網(wǎng)站性能測試:對網(wǎng)站進行性能測試�,例如使用Ping或Traceroute等工具,可以檢測出網(wǎng)站的性能是否下降�����。如果性能下降明顯�,可能意味著被CC攻擊了。
5.異常流量檢測:使用專業(yè)的安全工具可以檢測出異常流量�����,例如使用防火墻���、入侵檢測系統(tǒng)(IDS)等工具可以檢測出CC攻擊的流量。
四���、如何防御CC攻擊����?
1.完善日志:保留完整日志的習慣����,通過日志分析程序�����,能夠盡快判斷出異常訪問��,同時也能收集有用信息�,比如發(fā)現(xiàn)單一IP的密集訪問��,特定頁面的URL請求激增等等�。
2.屏蔽IP:如果發(fā)現(xiàn)CC攻擊的源IP,可以在IIS(Web頁面服務(wù)組件)���、防火墻中設(shè)置屏蔽該IP���,使該IP沒有對Web站點的訪問權(quán)限,從而達到防御的目的�。
3.使用高防:高防都是有專門的防CC防火墻架構(gòu)的,可以根據(jù)不同的CC攻擊調(diào)整專門的CC防護策略來攔截攻擊���。
4.安裝軟防:可以在服務(wù)器里面安裝軟件防火墻�����,如冰盾,金盾等等防CC軟件防火墻�。
5.定期檢查:定期進行安全檢查,以確保及時發(fā)現(xiàn)并阻止?jié)撛诘腃C攻擊��。
6.升級軟件和系統(tǒng):及時更新軟件和操作系統(tǒng)�����,以修補可能存在的安全漏洞��。
7.使用負載均衡:通過負載均衡���,將流量分散到多個服務(wù)器上,以減輕單臺服務(wù)器的負擔,從而防止CC攻擊�����。
8.配置防火墻規(guī)則:通過配置防火墻規(guī)則�,限制特定IP地址或端口的訪問權(quán)限���,以減少被CC攻擊的可能性�����。
9.建立安全防護機制:建立完善的安全防護機制,包括入侵檢測系統(tǒng)(IDS)��、安全事件管理(SIEM)等���,以便及時發(fā)現(xiàn)并應對CC攻擊
根據(jù)我這些年的經(jīng)驗來看,CC攻擊的目標非常廣泛�����,各種類型的網(wǎng)站或服務(wù)�。尤其是一些票務(wù)網(wǎng)站需要用到搶購的app或者網(wǎng)站等業(yè)務(wù),通常這類業(yè)務(wù)被CC攻擊主要途徑是因為一些搶購腳本軟件造成的,很多都是易語言寫的連點器���,盡管業(yè)務(wù)做好了防護手段��,但面對這種模仿真實用戶的低頻cc 是沒有很好的解決辦法的����,只能通過一直增加服務(wù)器的配置來獲取業(yè)務(wù)的穩(wěn)定和訪問速度�。
Cc攻擊本質(zhì)上就是訪問量超過現(xiàn)有資源使用率����。
假設(shè)你有一臺服務(wù)器,每天正常有5千人來訪問����,最大能支持每秒1000人同時訪問。如果現(xiàn)在有每秒10000人訪問����,你服務(wù)器就會拒絕服務(wù)��。但是超過你正常的訪問量就一定是攻擊嗎���?
不一定��,有很大可能是正常訪問����,就比如 某博、某票務(wù)平臺���、某寶這些平臺���,真的是因為攻擊才崩潰的嗎���,有�,但不全是��,有很多都是因為真實流量過大�����,服務(wù)器拒絕服務(wù)了���。
拿某博來說,沒人會去攻擊他,但是服務(wù)器還是會拒絕服務(wù)�,原因大家都知道�,還是流量太大了。
應對Cc攻擊����,理論只需要你的服務(wù)器數(shù)量與資源可以支持百萬ip,每秒訪問��,服務(wù)就會正常����。
比如,你的服務(wù)器同時支持1萬人在線���,現(xiàn)在同時來10萬人,你加20臺服務(wù)器���,一臺平均分配到5000人在線�����,這不就解決問題了嗎��?那怕有9萬是黑客ip.你也可以正常訪問��。所以不差錢��,只需要加服務(wù)器加資源就可以
早期防護主要原理是
1.早期的方法是對源 IP 的 HTTP 請求頻率設(shè)定閾值��,高于既定閾值的 IP 地址加入黑名單���。這種方法過于簡單,容易帶來誤殺��,并且無法屏蔽來自代理服務(wù)器的攻擊���,因此逐漸廢止�,取而代之的是基于 JavaScript 跳轉(zhuǎn)的人機識別方案��。
2.HTTP Flood 是由程序模擬 HTTP 請求���,一般來說不會解析服務(wù)端返回數(shù)據(jù),更不會解析 JS之類代碼��。因此當清洗設(shè)備截獲? HTTP 請求時�����,返回一段特殊 JavaScript 代碼�����,正常用戶的瀏覽器會處理并正常跳轉(zhuǎn)不影響使用�,而攻擊程序會攻擊到空處。由于 HTTP/CC 攻擊 的偽裝方式千變?nèi)f化�,很少有策略或者硬件防護能做到完美清洗,所以�����,針對 HTTP/CC 攻擊����,我們大多時候需要具備一定技術(shù)的網(wǎng)絡(luò)維護人員進行見招拆招。
這些可以防護���,但有一個最大的問題解決了。會誤封ip���。如果這一個正好是網(wǎng)站大客戶����,這就虧大了。游戲有一個天天充錢的客戶�,你給他誤封了。結(jié)果會損失很大�。
CC攻擊每秒攻擊量上千萬 上億的,市面上能買到軟件與硬件都不好用�����,必須找人定制策略�����,定制防護方案�。如果遇到這些攻擊解決不了的 可以聯(lián)系我一對一定制防護來解決CC攻擊難題�����。不存在誤封任何一個真實用戶�,提供免費的防護測試,防住了再談費用�����。
該文章在 2024/2/7 18:59:46 編輯過
400 186 1886
