一���、什么是cc攻擊?
CC = Challenge Collapsar���,意為“挑戰(zhàn)黑洞”�,其前身名為Fatboy攻擊��,是利用不斷對(duì)網(wǎng)站發(fā)送連接請(qǐng)求致使形成拒絕服務(wù)的目的�����。業(yè)界之所以把這種攻擊稱(chēng)為CC(Challenge Collapsar)����,是因?yàn)樵贒DOS攻擊發(fā)展前期,絕大部分的DDOS攻擊都能被業(yè)界知名的“黑洞”(Collapsar)抵擋住���,而CC攻擊的產(chǎn)生就是為了挑戰(zhàn)“黑洞”����,故而稱(chēng)之為Challenge Collapsar。攻擊者通過(guò)代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包�����,造成對(duì)方服務(wù)器資源耗盡���,一直到宕機(jī)崩潰�����。
二����、CC攻擊有那些類(lèi)型����?
1.肉雞攻擊:黑客使用CC攻擊軟件,控制大量肉雞模擬正常用戶(hù)訪(fǎng)問(wèn)網(wǎng)站��,偽造合法數(shù)據(jù)包請(qǐng)求���,消耗服務(wù)器資源���。
2.代理攻擊:黑客借助代理服務(wù)器生成指向受害網(wǎng)站(受害服務(wù)器)的合法網(wǎng)頁(yè)請(qǐng)求�,從而實(shí)現(xiàn)DOS和偽裝�,相對(duì)肉雞攻擊更容易防御�����。
3.SYN-CC攻擊:攻擊者直接使用高并發(fā)來(lái)請(qǐng)求目標(biāo)導(dǎo)致目標(biāo)網(wǎng)站或應(yīng)用無(wú)法提供正常服務(wù)����,較為常見(jiàn)。
4.POST流量耗用型:攻擊者惡意提交數(shù)據(jù)交互導(dǎo)致服務(wù)中斷��,帶寬耗用很高����,通常也會(huì)消耗掉大額的短信費(fèi)用。
5.模擬UA以及常規(guī)的百度偽裝:屬于常規(guī)偽裝攻擊����,大部分網(wǎng)站攻擊中一般會(huì)出現(xiàn)偽裝百度的CC攻擊,非常普遍���。
6.瀏覽器漏洞CC請(qǐng)求攻擊:利用瀏覽器漏洞控制瀏覽器來(lái)發(fā)動(dòng)攻擊���,該類(lèi)攻擊不是偽裝����,是真實(shí)請(qǐng)求�����,比較難防護(hù)的攻擊類(lèi)型�����。
7.路由盒子劫持攻擊:這類(lèi)攻擊請(qǐng)求也是合法的��,且路由盒子量非常龐大����,較難防御,但較少出現(xiàn)�����。
三����、怎么判斷自己被CC攻擊了
1.網(wǎng)站日志分析:查看網(wǎng)站日志文件�,通常會(huì)發(fā)現(xiàn)大量的訪(fǎng)問(wèn)請(qǐng)求來(lái)自同一IP或同一地區(qū)的多個(gè)IP地址�,并且這些請(qǐng)求都是在短時(shí)間內(nèi)集中發(fā)生的。這些請(qǐng)求可能就是CC攻擊的痕跡��。
2.CPU和內(nèi)存使用情況檢查:如果網(wǎng)站或應(yīng)用的CPU和內(nèi)存使用情況異常高�����,可能意味著被CC攻擊了���。因?yàn)镃C攻擊會(huì)生成大量的合法請(qǐng)求,這些請(qǐng)求會(huì)消耗服務(wù)器資源�����,導(dǎo)致服務(wù)器負(fù)載增加�。
3.網(wǎng)絡(luò)帶寬使用情況檢查:如果網(wǎng)絡(luò)帶寬使用量異常高,尤其是某一地區(qū)的網(wǎng)絡(luò)帶寬使用量異常高�,可能意味著被CC攻擊了。因?yàn)镃C攻擊通常會(huì)通過(guò)代理服務(wù)器或肉雞模擬多個(gè)用戶(hù)訪(fǎng)問(wèn)網(wǎng)站����,這些訪(fǎng)問(wèn)會(huì)占用大量的網(wǎng)絡(luò)帶寬。
4.網(wǎng)站性能測(cè)試:對(duì)網(wǎng)站進(jìn)行性能測(cè)試���,例如使用Ping或Traceroute等工具���,可以檢測(cè)出網(wǎng)站的性能是否下降�。如果性能下降明顯�����,可能意味著被CC攻擊了��。
5.異常流量檢測(cè):使用專(zhuān)業(yè)的安全工具可以檢測(cè)出異常流量����,例如使用防火墻、入侵檢測(cè)系統(tǒng)(IDS)等工具可以檢測(cè)出CC攻擊的流量��。
四�����、如何防御CC攻擊�����?
1.完善日志:保留完整日志的習(xí)慣,通過(guò)日志分析程序�����,能夠盡快判斷出異常訪(fǎng)問(wèn)�����,同時(shí)也能收集有用信息�����,比如發(fā)現(xiàn)單一IP的密集訪(fǎng)問(wèn)��,特定頁(yè)面的URL請(qǐng)求激增等等�。
2.屏蔽IP:如果發(fā)現(xiàn)CC攻擊的源IP���,可以在IIS(Web頁(yè)面服務(wù)組件)����、防火墻中設(shè)置屏蔽該IP��,使該IP沒(méi)有對(duì)Web站點(diǎn)的訪(fǎng)問(wèn)權(quán)限�����,從而達(dá)到防御的目的。
3.使用高防:高防都是有專(zhuān)門(mén)的防CC防火墻架構(gòu)的���,可以根據(jù)不同的CC攻擊調(diào)整專(zhuān)門(mén)的CC防護(hù)策略來(lái)攔截攻擊��。
4.安裝軟防:可以在服務(wù)器里面安裝軟件防火墻��,如冰盾����,金盾等等防CC軟件防火墻�。
5.定期檢查:定期進(jìn)行安全檢查,以確保及時(shí)發(fā)現(xiàn)并阻止?jié)撛诘腃C攻擊�����。
6.升級(jí)軟件和系統(tǒng):及時(shí)更新軟件和操作系統(tǒng)���,以修補(bǔ)可能存在的安全漏洞�����。
7.使用負(fù)載均衡:通過(guò)負(fù)載均衡��,將流量分散到多個(gè)服務(wù)器上�����,以減輕單臺(tái)服務(wù)器的負(fù)擔(dān)����,從而防止CC攻擊。
8.配置防火墻規(guī)則:通過(guò)配置防火墻規(guī)則�����,限制特定IP地址或端口的訪(fǎng)問(wèn)權(quán)限�����,以減少被CC攻擊的可能性�。
9.建立安全防護(hù)機(jī)制:建立完善的安全防護(hù)機(jī)制����,包括入侵檢測(cè)系統(tǒng)(IDS)、安全事件管理(SIEM)等����,以便及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)CC攻擊
根據(jù)我這些年的經(jīng)驗(yàn)來(lái)看,CC攻擊的目標(biāo)非常廣泛,各種類(lèi)型的網(wǎng)站或服務(wù)�����。尤其是一些票務(wù)網(wǎng)站需要用到搶購(gòu)的app或者網(wǎng)站等業(yè)務(wù)��,通常這類(lèi)業(yè)務(wù)被CC攻擊主要途徑是因?yàn)橐恍屬?gòu)腳本軟件造成的��,很多都是易語(yǔ)言寫(xiě)的連點(diǎn)器�,盡管業(yè)務(wù)做好了防護(hù)手段,但面對(duì)這種模仿真實(shí)用戶(hù)的低頻cc 是沒(méi)有很好的解決辦法的�,只能通過(guò)一直增加服務(wù)器的配置來(lái)獲取業(yè)務(wù)的穩(wěn)定和訪(fǎng)問(wèn)速度。
Cc攻擊本質(zhì)上就是訪(fǎng)問(wèn)量超過(guò)現(xiàn)有資源使用率�。
假設(shè)你有一臺(tái)服務(wù)器,每天正常有5千人來(lái)訪(fǎng)問(wèn)�,最大能支持每秒1000人同時(shí)訪(fǎng)問(wèn)。如果現(xiàn)在有每秒10000人訪(fǎng)問(wèn)��,你服務(wù)器就會(huì)拒絕服務(wù)�����。但是超過(guò)你正常的訪(fǎng)問(wèn)量就一定是攻擊嗎�?
不一定,有很大可能是正常訪(fǎng)問(wèn)��,就比如 某博、某票務(wù)平臺(tái)��、某寶這些平臺(tái)���,真的是因?yàn)楣舨疟罎⒌膯?�,有�,但不全是����,有很多都是因?yàn)檎鎸?shí)流量過(guò)大,服務(wù)器拒絕服務(wù)了�。
拿某博來(lái)說(shuō),沒(méi)人會(huì)去攻擊他��,但是服務(wù)器還是會(huì)拒絕服務(wù)��,原因大家都知道����,還是流量太大了�。
應(yīng)對(duì)Cc攻擊,理論只需要你的服務(wù)器數(shù)量與資源可以支持百萬(wàn)ip����,每秒訪(fǎng)問(wèn)��,服務(wù)就會(huì)正常�。
比如����,你的服務(wù)器同時(shí)支持1萬(wàn)人在線(xiàn),現(xiàn)在同時(shí)來(lái)10萬(wàn)人���,你加20臺(tái)服務(wù)器��,一臺(tái)平均分配到5000人在線(xiàn)�,這不就解決問(wèn)題了嗎����?那怕有9萬(wàn)是黑客ip.你也可以正常訪(fǎng)問(wèn)。所以不差錢(qián)�,只需要加服務(wù)器加資源就可以
早期防護(hù)主要原理是
1.早期的方法是對(duì)源 IP 的 HTTP 請(qǐng)求頻率設(shè)定閾值,高于既定閾值的 IP 地址加入黑名單����。這種方法過(guò)于簡(jiǎn)單,容易帶來(lái)誤殺�,并且無(wú)法屏蔽來(lái)自代理服務(wù)器的攻擊�����,因此逐漸廢止�,取而代之的是基于 JavaScript 跳轉(zhuǎn)的人機(jī)識(shí)別方案�����。
2.HTTP Flood 是由程序模擬 HTTP 請(qǐng)求�,一般來(lái)說(shuō)不會(huì)解析服務(wù)端返回?cái)?shù)據(jù),更不會(huì)解析 JS之類(lèi)代碼�����。因此當(dāng)清洗設(shè)備截獲? HTTP 請(qǐng)求時(shí)����,返回一段特殊 JavaScript 代碼,正常用戶(hù)的瀏覽器會(huì)處理并正常跳轉(zhuǎn)不影響使用����,而攻擊程序會(huì)攻擊到空處。由于 HTTP/CC 攻擊 的偽裝方式千變?nèi)f化���,很少有策略或者硬件防護(hù)能做到完美清洗�����,所以����,針對(duì) HTTP/CC 攻擊�����,我們大多時(shí)候需要具備一定技術(shù)的網(wǎng)絡(luò)維護(hù)人員進(jìn)行見(jiàn)招拆招�。
這些可以防護(hù),但有一個(gè)最大的問(wèn)題解決了�。會(huì)誤封ip。如果這一個(gè)正好是網(wǎng)站大客戶(hù)�,這就虧大了。游戲有一個(gè)天天充錢(qián)的客戶(hù)���,你給他誤封了�����。結(jié)果會(huì)損失很大�����。
CC攻擊每秒攻擊量上千萬(wàn) 上億的���,市面上能買(mǎi)到軟件與硬件都不好用���,必須找人定制策略,定制防護(hù)方案����。如果遇到這些攻擊解決不了的 可以聯(lián)系我一對(duì)一定制防護(hù)來(lái)解決CC攻擊難題。不存在誤封任何一個(gè)真實(shí)用戶(hù)���,提供免費(fèi)的防護(hù)測(cè)試�����,防住了再談費(fèi)用����。
該文章在 2024/2/7 18:59:46 編輯過(guò)
400 186 1886
