CC攻擊對(duì)于網(wǎng)站和游戲運(yùn)營(yíng)者來(lái)說(shuō)并不陌生�,據(jù)小編觀察經(jīng)常遭遇網(wǎng)站CC的一般就是金融、游戲���、商城等盈利性的網(wǎng)站了����。一般情況下攻擊手會(huì)通過(guò)偽裝成多個(gè)用戶的形式去訪問(wèn)目標(biāo)網(wǎng)站����,持續(xù)性的消耗目標(biāo)主機(jī)的資源���,導(dǎo)致其他正常用戶在訪問(wèn)時(shí)����,無(wú)法訪問(wèn),或者出現(xiàn)不同程度的卡頓����、打不開的情況。這是一種比較常見(jiàn)的攻擊模式���。
CC攻擊介紹
CC攻擊(Challenge Collapsar)是DDOS(分布式拒絕服務(wù))的一種���,前身名為Fatboy攻擊,也是一種常見(jiàn)的網(wǎng)站攻擊方法����。攻擊者通過(guò)代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包,造成對(duì)方服務(wù)器資源耗盡�����,一直到宕機(jī)崩潰����。相比其它的DDOS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見(jiàn)不到真實(shí)源IP����,見(jiàn)不到特別大的異常流量����,但造成服務(wù)器無(wú)法進(jìn)行正常連接�����。最讓站長(zhǎng)們憂慮的是這種攻擊技術(shù)含量低��,利用更換IP代理工具和一些IP代理一個(gè)初�����、中級(jí)的電腦水平的用戶就能夠?qū)嵤┕簟?/p>
CC攻擊防御方法
1. 利用Session做訪問(wèn)計(jì)數(shù)器:利用Session針對(duì)每個(gè)IP做頁(yè)面訪問(wèn)計(jì)數(shù)器或文件下載計(jì)數(shù)器����,防止用戶對(duì)某個(gè)頁(yè)面頻繁刷新導(dǎo)致數(shù)據(jù)庫(kù)頻繁讀取或頻繁下載某個(gè)文件而產(chǎn)生大額流量。(文件下載不要直接使用下載地址�,才能在服務(wù)端代碼中做CC攻擊的過(guò)濾處理)
2. 把網(wǎng)站做成靜態(tài)頁(yè)面:大量事實(shí)證明,把網(wǎng)站盡可能做成靜態(tài)頁(yè)面���,不僅能大大提高抗攻擊能力�,而且還給駭客入侵帶來(lái)不少麻煩���,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn)����,看看吧����!新浪、搜狐��、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁(yè)面�����,若你非需要?jiǎng)討B(tài)腳本調(diào)用���,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去��,免的遭受攻擊時(shí)連累主服務(wù)器��。
3. 增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng)���,本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒(méi)有開啟而已�,若開啟的話可抵擋約10000個(gè)SYN攻擊包,若沒(méi)有開啟則僅能抵御數(shù)百個(gè),具體怎么開啟��,自己去看微軟的文章吧���!《強(qiáng)化 TCP/IP 堆棧安全》����。也許有的人會(huì)問(wèn)��,那我用的是Linux和FreeBSD怎么辦�?很簡(jiǎn)單,按照這篇文章去做吧���!《SYN Cookies》�����。
4. 在存在多站的服務(wù)器上����,嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間�,這是一個(gè)很有效的方法。CC的防御要從代碼做起�,其實(shí)一個(gè)好的頁(yè)面代碼都應(yīng)該注意這些東西�����,還有SQL注入,不光是一個(gè)入侵工具�����,更是一個(gè)DDOS缺口����,大家都應(yīng)該在代碼中注意。舉個(gè)例子吧�����,某服務(wù)器��,開動(dòng)了5000線的CC攻擊����,沒(méi)有一點(diǎn)反應(yīng),因?yàn)樗械脑L問(wèn)數(shù)據(jù)庫(kù)請(qǐng)求都必須一個(gè)隨機(jī)參數(shù)在Session里面���,全是靜態(tài)頁(yè)面����,沒(méi)有效果。突然發(fā)現(xiàn)它有一個(gè)請(qǐng)求會(huì)和外面的服務(wù)器聯(lián)系獲得��,需要較長(zhǎng)的時(shí)間���,而且沒(méi)有什么認(rèn)證��,開800線攻擊��,服務(wù)器馬上滿負(fù)荷了��。代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起����,一個(gè)腳本代碼的錯(cuò)誤���,可能帶來(lái)的是整個(gè)站的影響�����,甚至是整個(gè)服務(wù)器的影響!
5. 服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的有百度云加速��、360網(wǎng)站衛(wèi)士���、加速樂(lè)�、安全寶等)�����,如果資金充裕的話��,可以購(gòu)買高防的盾機(jī)��,用于隱藏服務(wù)器真實(shí)IP��,域名解析使用CDN的IP�,所有解析的子域名都使用CDN的IP地址���。此外�,服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析�,全部都使用CDN來(lái)解析。
另外���,防止服務(wù)器對(duì)外傳送信息泄漏IP地址���,最常見(jiàn)的情況是�����,服務(wù)器不要使用發(fā)送郵件功能�,因?yàn)猷]件頭會(huì)泄漏服務(wù)器的IP地址���。如果非要發(fā)送郵件�����,可以通過(guò)第三方代理(例如sendcloud)發(fā)送��,這樣對(duì)外顯示的IP是代理的IP地址�。
6�����、如果經(jīng)常被攻擊�,最差的打算無(wú)非是遷移數(shù)據(jù),更換抗攻擊能力強(qiáng)的高防服務(wù)器了����,但是小編也并不推薦大家去這么做,畢竟即使更換更高抗攻擊能力的高防服務(wù)器����,也許終有一天在攻擊持續(xù)增加的情況下��,扛不住的情形����。
7����、在服務(wù)器上安裝安全防火墻。目前網(wǎng)上是有推出一些防御軟件的���,可以安裝防御軟件后,在防御軟件上設(shè)置CC防火墻選項(xiàng)��。
8���、購(gòu)買cdn加速系列產(chǎn)品在進(jìn)行外層防御����,選擇cdn加速類產(chǎn)品��,無(wú)需更換源服務(wù)器�,直接通過(guò)在源服務(wù)器外設(shè)節(jié)點(diǎn)的形式���,去分流攻擊,抗住攻擊�����。cdn加速系列產(chǎn)品不僅可以有效的抗住攻擊���,隱藏保護(hù)源服務(wù)器����。也可以實(shí)現(xiàn)轉(zhuǎn)發(fā)功能����,提升用戶的訪問(wèn)速度。
總之�,只要服務(wù)器的真實(shí)IP不泄露,10G以下小流量DDOS的預(yù)防花不了多少錢�,免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過(guò)20G����,那么免費(fèi)的CDN可能就頂不住了,需要購(gòu)買一個(gè)高防的盾機(jī)來(lái)應(yīng)付了,而服務(wù)器的真實(shí)IP同樣需要隱藏
WAF介紹
WAF(Web Application Firewall)的中文名稱叫做“Web應(yīng)用防火墻”��,利用國(guó)際上公認(rèn)的一種說(shuō)法�����,WAF的定義是這樣的:Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品��。通過(guò)從上面對(duì)WAF的定義中���,我們可以很清晰的了解到�����,WAF是一種工作在應(yīng)用層的��、通過(guò)特定的安全策略來(lái)專門為Web應(yīng)用提供安全防護(hù)的產(chǎn)品�����。
根據(jù)不同的分類方法,WAF可分為許多種���。從產(chǎn)品形態(tài)上來(lái)劃分���,WAF主要分為以下三大類:
1.硬件設(shè)備類:目前安全市場(chǎng)上����,大多數(shù)的WAF都屬于此類��。它們以一個(gè)獨(dú)立的硬件設(shè)備的形態(tài)存在����,支持以多種方式(如透明橋接模式、旁路模式�、反向代理等)部署到網(wǎng)絡(luò)中為后端的Web應(yīng)用提供安全防護(hù)。相對(duì)于軟件產(chǎn)品類的WAF����,這類產(chǎn)品的優(yōu)點(diǎn)是性能好、功能全面��、支持多種模式部署等���,但它的價(jià)格通常比較貴��。國(guó)內(nèi)的綠盟�、安恒�����、啟明星辰等廠商生產(chǎn)的WAF都屬于此類。
2.軟件產(chǎn)品類:這種類型的WAF采用純軟件的方式實(shí)現(xiàn)��,特點(diǎn)是安裝簡(jiǎn)單�����,容易使用�����,成本低�����。但它的缺點(diǎn)也是顯而易見(jiàn)的�����,因?yàn)樗仨毎惭b在Web應(yīng)用服務(wù)器上�,除了性能受到限制外��,還可能會(huì)存在兼容性�、安全等問(wèn)題。這類WAF的代表有ModSecurity、Naxsi�、網(wǎng)站安全狗等。
3.基于云的WAF:隨著云計(jì)算技術(shù)的快速發(fā)展�����,使得其于云的WAF實(shí)現(xiàn)成為可能��。國(guó)內(nèi)創(chuàng)新工場(chǎng)旗下的安全寶�����、360的網(wǎng)站寶是這類WAF的典型代表�。它的優(yōu)點(diǎn)是快速部署、零維護(hù)�、成本低。對(duì)于中��、小型的企業(yè)和個(gè)人站長(zhǎng)是很有吸引力的��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
