CC就是充分利用了這個(gè)特點(diǎn)，模擬多個(gè)用戶（多少線程就是多少用戶）不停的進(jìn)行訪問（訪問那些需要大量數(shù)據(jù)操作，就是需要大量CPU時(shí)間的頁面）。很多朋友問到，為什么要使用代理呢？因?yàn)榇砜梢杂行У仉[藏自己的身份，也可以繞開所有的防火墻，因?yàn)榛旧纤械姆阑饓Χ紩?huì)檢測(cè)并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會(huì)被認(rèn)為是Connection-Flood。

使用代理攻擊還能很好的保持連接，我們這里發(fā)送了數(shù)據(jù)，代理幫我們轉(zhuǎn)發(fā)給對(duì)方服務(wù)器，我們就可以馬上斷開，代理還會(huì)繼續(xù)保持著和對(duì)方連接（我知道的記錄是有人利用2000個(gè)代理產(chǎn)生了35萬并發(fā)連接）。

可能很多朋友還不能很好的理解，我來描述一下吧。我們假設(shè)服務(wù)器A對(duì)Search.asp的處理時(shí)間需要0.01S（多線程只是時(shí)間分割，對(duì)結(jié)論沒有影響），也就是說他一秒可以保證100個(gè)用戶的Search請(qǐng)求，服務(wù)器允許的最大連接時(shí)間為60s，那么我們使用CC模擬120個(gè)用戶并發(fā)連接，那么經(jīng)過1分鐘，服務(wù)器的被請(qǐng)求了7200次，處理了6000次，于是剩下了1200個(gè)并發(fā)連接沒有被處理。有的朋友會(huì)說：丟連接！丟連接！問題是服務(wù)器是按先來后到的順序丟的，這1200個(gè)是在最后10秒的時(shí)候發(fā)起的，想丟？！還早，經(jīng)過計(jì)算，服務(wù)器滿負(fù)開始丟連接的時(shí)候，應(yīng)該是有7200個(gè)并發(fā)連接存在隊(duì)列，然后服務(wù)器開始120個(gè)/秒的丟連接，我們發(fā)動(dòng)的連接也是120個(gè)/秒，服務(wù)器永遠(yuǎn)有處理不完的連接，服務(wù)器的CPU 100%并長時(shí)間保持，然后丟連接的60秒服務(wù)器也判斷處理不過來了，新的連接也處理不了，這樣服務(wù)器達(dá)到了超級(jí)繁忙狀態(tài)。

蝴蝶：我們假設(shè)服務(wù)器處理Search只用了0.01S，也就是10毫秒（這個(gè)速度你可以去各個(gè)有開放時(shí)間顯示的論壇看看），我們使用的線程也只有120，很多服務(wù)器的丟連接時(shí)間遠(yuǎn)比60S長，我們的使用線程遠(yuǎn)比120多，可以想象可怕了吧，而且客戶機(jī)只要發(fā)送了斷開，連接的保持是代理做的，而且當(dāng)服務(wù)器收到SQL請(qǐng)求，肯定會(huì)進(jìn)入隊(duì)列，不論連接是否已經(jīng)斷開，而且服務(wù)器是并發(fā)的，不是順序執(zhí)行，這樣使得更多的請(qǐng)求進(jìn)入內(nèi)存請(qǐng)求，對(duì)服務(wù)器負(fù)擔(dān)更大。

當(dāng)然，CC也可以利用這里方法對(duì)FTP進(jìn)行攻擊，也可以實(shí)現(xiàn)TCP-FLOOD，這些都是經(jīng)過測(cè)試有效的。

說了攻擊原理，大家肯定會(huì)問，那么怎么防御？使用硬件防火墻我不知道如何防范，除非你完全屏蔽頁面訪問，我的方法是通過頁面的編寫實(shí)現(xiàn)防御。

1. 使用Cookie認(rèn)證。這時(shí)候朋友說CC里面也允許Cookie，但是這里的Cookie是所有連接都使用的，所以啟用IP+Cookie認(rèn)證就可以了。

2. 利用Session。這個(gè)判斷比Cookie更加方便，不光可以IP認(rèn)證，還可以防刷新模式，在頁面里判斷刷新，是刷新就不讓它訪問，沒有刷新符號(hào)給它刷新符號(hào)。給些示范代碼吧，Session：

<%

If session("refresh")<> 1 Then

Session("refresh")=session("refresh")+1

Response.redirect "index.asp"

End If

%>

這樣用戶第一次訪問會(huì)使得Refresh=1，第二次訪問，正常，第三次，不讓他訪問了，認(rèn)為是刷新，可以加上一個(gè)時(shí)間參數(shù)，讓多少時(shí)間允許訪問，這樣就限制了耗時(shí)間的頁面的訪問，對(duì)正?？蛻魩缀鯖]有什么影響。

3. 通過代理發(fā)送的HTTP_X_FORWARDED_FOR變量來判斷使用代理攻擊機(jī)器的真實(shí)IP，這招完全可以找到發(fā)動(dòng)攻擊的人，當(dāng)然，不是所有的代理服務(wù)器都發(fā)送，但是有很多代理都發(fā)送這個(gè)參數(shù)。詳細(xì)代碼：

<%

Dim fsoObject

Dim tsObject

Dim file

If Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" Then

response.write "無代理訪問"

response.end

End If

Set fsoObject = Server.createObject("scripting.FileSystemObject")

file = server.mappath("CCLog.txt")

If Not fsoObject.fileexists(file) Then

fsoObject.createtextfile file,true,false

End If

Set tsObject = fsoObject.OpenTextFile(file,8)

tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now()

Set fsoObject = Nothing

Set tsObject = Nothing

response.write "有代理訪問"

%>

這樣會(huì)生成CCLog.txt，它的記錄格式是：真實(shí)IP [代理的IP] 時(shí)間，看看哪個(gè)真實(shí)IP出現(xiàn)的次數(shù)多，就知道是誰在攻擊了。將這個(gè)代碼做成Conn.asp文件，替代那些連接數(shù)據(jù)庫的文件，這樣所有的數(shù)據(jù)庫請(qǐng)求就連接到這個(gè)文件上，然后馬上就能發(fā)現(xiàn)攻擊的人。

4. 還有一個(gè)方法就是把需要對(duì)數(shù)據(jù)查詢的語句做在Redirect后面，讓對(duì)方必須先訪問一個(gè)判斷頁面，然后Redirect過去。

5. 在存在多站的服務(wù)器上，嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間，這是一個(gè)很有效的方法。

CC的防御要從代碼做起，其實(shí)一個(gè)好的頁面代碼都應(yīng)該注意這些東西，還有SQL注入，不光是一個(gè)入侵工具，更是一個(gè)DDOS缺口，大家都應(yīng)該在代碼中注意。舉個(gè)例子吧，某服務(wù)器，開動(dòng)了5000線的CC攻擊，沒有一點(diǎn)反應(yīng)，因?yàn)樗械脑L問數(shù)據(jù)庫請(qǐng)求都必須一個(gè)隨機(jī)參數(shù)在Session里面，全是靜態(tài)頁面，沒有效果。突然發(fā)現(xiàn)它有一個(gè)請(qǐng)求會(huì)和外面的服務(wù)器聯(lián)系獲得，需要較長的時(shí)間，而且沒有什么認(rèn)證，開800線攻擊，服務(wù)器馬上滿負(fù)荷了。

代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)腳本代碼的錯(cuò)誤，可能帶來的是整個(gè)站的影響，甚至是整個(gè)服務(wù)器的影響，慎之！