簡(jiǎn)述網(wǎng)頁(yè)被CC攻擊原理與防御方法
發(fā)布時(shí)間:2022-05-27 12:22
來(lái)源:好主機
閱讀:89
作者:網(wǎng)絡(luò )
欄目: 經(jīng)驗分享
歡迎投稿:712375056
HTTP Flood 俗稱(chēng)CC攻擊(Challenge Collapsar)是DDOS(分布式拒絕服務(wù))的一種�����,前身名為Fatboy攻擊�,也是一種常見(jiàn)的網(wǎng)站攻擊方法��。是針對 Web 服務(wù)在第七層協(xié)議發(fā)起的攻擊�����。攻擊者相較其他三層和四層�����,并不需要控制大量的肉雞��,取而代之的是通過(guò)端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的 HTTP 代理或者 SOCKS 代理��,攻擊者通過(guò)匿名代理對攻擊目標發(fā)起HTTP 請求����。匿名代理服務(wù)器在互聯(lián)網(wǎng)上廣泛存在�����。因此攻擊容易發(fā)起而且可以保持長(cháng)期高強度的持續攻擊����,同樣可以隱藏攻擊者來(lái)源避免被追查���。
HTTP/CC 攻擊的特點(diǎn):
HTTP/CC 攻擊的 ip 都是真實(shí)的�����,分散的
HTTP/CC 攻擊的數據包都是正常的數據包
HTTP/CC 攻擊的請求都是有效請求�,且無(wú)法拒絕
HTTP/CC 攻擊的是網(wǎng)頁(yè)��,服務(wù)器可以連接���,ping 也沒(méi)問(wèn)題�����,但是網(wǎng)頁(yè)就是訪(fǎng)問(wèn)不了
如果 WEB環(huán)境 一開(kāi)�����,服務(wù)器很快就死�,容易丟包����。
那如何造成更大的殺傷呢�。Web 服務(wù)與 DNS 服務(wù)類(lèi)似�����,也存在緩存機制�����。如果攻擊者的大量請求命中了服務(wù)器緩存��,那么這種攻擊的主要作用僅體現在消耗網(wǎng)絡(luò )帶寬資源上����,對于計算和 IO 資源的消耗是非常有限的���。因此�����,高效的 HTTP/CC 攻擊 應不斷發(fā)出針對不同資源和頁(yè)面的 HTTP 請求�����,并盡可能請求無(wú)法被緩存的資源( 如關(guān)鍵詞搜索結果�����、用戶(hù)相關(guān)資料等 )���,這樣才能更好的加重服務(wù)器的負擔��,達到理想的攻擊效果����。當然 HTTP/CC 攻擊 也會(huì )引起嚴重的連鎖反應�����,不僅僅是直接導致被攻擊的 Web 前端響應緩慢����,還間接攻擊到后端的 Java 等業(yè)務(wù)層邏輯以及更后端的數據庫服務(wù)�����,增大它們的壓力����,HTTP/CC 攻擊 產(chǎn)生的海量日志數據甚至會(huì )對日志存儲服務(wù)器都帶來(lái)影響���。
如果 Web 服務(wù)器支持 HTTPS����,那么進(jìn)行 HTTPS 洪水攻擊是更為有效的一種攻擊方式��。原因有二:
其一���,在進(jìn)行 HTTPS 通信時(shí)����,Web 服務(wù)器需要消耗更多的資源用來(lái)認證和加解密�����。
其二��,目前一部分防護設備無(wú)法對 HTTPS 通信數據流進(jìn)行處理����,會(huì )導致攻擊流量繞過(guò)防護設備��,直接對 Web 服務(wù)器造成攻擊���。
確定Web服務(wù)器正在被CC攻擊時(shí)�����,為了不影響服務(wù)器上的其它業(yè)務(wù)運行���,如何快速恢復服務(wù)器正常訪(fǎng)問(wèn)呢��?
(1).取消域名綁定
一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊����,比如我們的網(wǎng)站域名是“www.abc.com”����,那么攻擊者就在攻擊工具中設定攻擊對象為該域名然后實(shí)施攻擊���。 對于這樣的攻擊我們的措施是取消這個(gè)域名的綁定�,讓CC攻擊失去目標����。
(2).域名欺騙解析
如果發(fā)現針對域名的CC攻擊���,我們可以把被攻擊的域名解析到127.0.0.1這個(gè)地址上��。我們知道127.0.0.1是本地回環(huán)IP是用來(lái)進(jìn)行網(wǎng)絡(luò )測試的�,如果把被攻擊的域名解析到這個(gè)IP上��,就可以實(shí)現攻擊者自己攻擊自己的目的�����,這樣他再多的肉雞或者代理也會(huì )宕機����,讓其自作自受����。
(3).更改Web端口
一般情況下Web服務(wù)器通過(guò)80端口對外提供服務(wù)���,因此攻擊者實(shí)施攻擊就以默認的80端口進(jìn)行攻擊�,所以�����,我們可以修改Web端口達到防CC攻擊的目的�。
(4).安全組拒絕訪(fǎng)問(wèn)
利用云服務(wù)器安全組阻斷所有IP進(jìn)入��,只允許自己IP訪(fǎng)問(wèn)����,達到快速恢復服務(wù)器目的����。
(5).關(guān)掉WEB服務(wù)
windows系統關(guān)掉IIS�����,linux關(guān)掉apache�����、nginx���,網(wǎng)站不運行了��,服務(wù)器自然就恢復了��。
簡(jiǎn)易CC攻擊防御方法
1. 把網(wǎng)站做成靜態(tài)頁(yè)面:
大量事實(shí)證明�����,把網(wǎng)站盡可能做成靜態(tài)頁(yè)面���,不僅能大大提高抗攻擊能力�,而且還給駭客入侵帶來(lái)不少麻煩��,至少到現在為止關(guān)于HTML的溢出還沒(méi)出現���,看看吧���!新浪�、搜狐���、網(wǎng)易等門(mén)戶(hù)網(wǎng)站主要都是靜態(tài)頁(yè)面�,若你非需要動(dòng)態(tài)腳本調用���,那就把它弄到另外一臺單獨主機去�����,免的遭受攻擊時(shí)連累主服務(wù)器�。
2. 在存在多站的服務(wù)器上����,嚴格限制每一個(gè)站允許的IP連接數和CPU使用時(shí)間
這是一個(gè)很有效的方法��。CC的防御要從代碼做起���,其實(shí)一個(gè)好的頁(yè)面代碼都應該注意這些東西��,還有SQL注入�,不光是一個(gè)入侵工具�,更是一個(gè)DDOS缺口�����,大家都應該在代碼中注意�����。舉個(gè)例子吧�����,某服務(wù)器�����,開(kāi)動(dòng)了5000線(xiàn)的CC攻擊�,沒(méi)有一點(diǎn)反應�����,因為它所有的訪(fǎng)問(wèn)數據庫請求都必須一個(gè)隨機參數在Session里面�����,全是靜態(tài)頁(yè)面�����,沒(méi)有效果����。突然發(fā)現它有一個(gè)請求會(huì )和外面的服務(wù)器聯(lián)系獲得���,需要較長(cháng)的時(shí)間�����,而且沒(méi)有什么認證����,開(kāi)800線(xiàn)攻擊����,服務(wù)器馬上滿(mǎn)負荷了����。代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起���,一個(gè)腳本代碼的錯誤�,可能帶來(lái)的是整個(gè)站的影響����,甚至是整個(gè)服務(wù)器的影響!
5. 服務(wù)器前端加cdn/' target='_blank'>CDN中轉
可以購買(mǎi)高CDN百度云加速����,用于隱藏服務(wù)器真實(shí)IP��,域名解析使用CDN的IP����,所有解析的子域名都使用CDN的IP地址�。此外��,服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析�����,全部都使用CDN來(lái)解析���,百度云加速提供四到七層的DDoS攻擊防護���,包括CC��、SYN flood���、UDP flood等所有DDoS攻擊方式���, 通過(guò)分布式高性能防火墻 精準流量清洗 CC防御 WEB攻擊攔截���,組合過(guò)濾精確識別�����,有效防御各種類(lèi)型攻擊�����。
另外�,防止服務(wù)器對外傳送信息泄漏IP地址�,最常見(jiàn)的情況是�,服務(wù)器不要使用發(fā)送郵件功能�,因為郵件頭會(huì )泄漏服務(wù)器的IP地址�。如果非要發(fā)送郵件����,可以通過(guò)第三方代理(例如sendcloud)發(fā)送�����,這樣對外顯示的IP是代理的IP地址�����。
發(fā)布者:水橋丶帕露西
