CC攻擊可以歸為DDoS攻擊的一種。他們之間都原理都是一樣的���,即發(fā)送大量的請求數(shù)據(jù)
來導致服務(wù)器拒絕服務(wù)���,是一種連接攻擊����。CC攻擊又可分為代理CC攻擊���,和肉雞CC攻擊���。代理CC攻擊是黑客借助代理服務(wù)器生成指向受害主機的合法網(wǎng)頁請
求,實現(xiàn)DOS����,和偽裝就叫:cc(ChallengeCollapsar)。而肉雞CC攻擊是黑客使用CC攻擊軟件��,控制大量肉雞���,發(fā)動攻擊�����,相比來后
者比前者更難防御���。因為肉雞可以模擬正常用戶訪問網(wǎng)站的請求。偽造成合法數(shù)據(jù)包�����。防御CC攻擊可以通過多種方法�,禁止網(wǎng)站代理訪問��,盡量將網(wǎng)站做成靜態(tài)頁
面��,限制連接數(shù)量等��。
Nginx是一款輕量級的Web服務(wù)器�,由俄羅斯的程序設(shè)計師Igor Sysoev所開發(fā)����,最初供俄國大型的入口網(wǎng)站及搜尋引Rambler使用。 其特點是占有內(nèi)存少�,并發(fā)能力強,事實上Nginx的并發(fā)能力確實在同類型的網(wǎng)站服務(wù)器中表現(xiàn)較好�。
Nginx雖然可以比Apache處理更大的連接數(shù),但是HTTP GET FLOOD針對的不僅僅是WEB服務(wù)器���,還有數(shù)據(jù)庫服務(wù)器�����。大量HTTP請求產(chǎn)生了大量的數(shù)據(jù)庫查詢���,可以在幾秒之內(nèi)使數(shù)據(jù)庫停止響應(yīng),系統(tǒng)負載升高���,最終導致服務(wù)器當機�����。
本文主要介紹CentOS+Nginx下如何快速有效得防御CC攻擊��。至于如何安裝Nginx就不詳細介紹了���,有興趣的讀者可以在Nginx官方網(wǎng)站(http://www.nginx.org/)下載源代碼進行編譯。如果你使用的是Centos5�����,也可以使用rpm包進行安裝(http://centos.alt.ru/repository/centos/5/i386/nginx-stable-0.7.65-1.el5.i386.rpm)����。
主動抑制方法
為了讓Nginx支持更多的并發(fā)連接數(shù),根據(jù)實際情況對工作線程數(shù)和每個工作線程支持的
最大連接數(shù)進行調(diào)整���。例如設(shè)置“worker_processes 10”和“worker_connections
1024”�����,那這臺服務(wù)器支持的最大連接數(shù)就是10×1024=10240����。
worker_processes 10;
events {
use epoll;
worker_connections 10240;
}
Nginx 0.7開始提供了2個限制用戶連接的模塊:NginxHttpLimitZoneModule和NginxHttpLimitReqModule。NginxHttpLimitZoneModule可以根據(jù)條件進行并發(fā)連接數(shù)控制��。
例如可以定義以下代碼:
http {
limit_zone my_zone $binary_remote_addr 10m;
server {
location /somedir/ {
limit_conn my_zone 1;
}
}
}
其中“l(fā)imit_zone my_zone $binary_remote_addr 10m”的意思是定義一個名稱為my_zone的存儲區(qū)域����、my_zone中的內(nèi)容為遠程IP地址、my_zone的大小為10M�����;“l(fā)ocation /somedir/”的意思是針對somedir目錄應(yīng)用規(guī)則�����;“l(fā)imit_conn my_zone 1”的意思是針對上面定義的my_zone記錄區(qū)記錄的IP地址在指定的目錄中只能建立一個連接���。
NginxHttpLimitReqModule可以根據(jù)條件進行請求頻率的控制���。例如可以定義以下代碼:
http {
limit_req_zone $binary_remote_addr zone=my_req_zone:10m rate=1r/s;
...
server {
...
location /somedir/ {
limit_req_zone zone= my_req_zone burst=2;
}
Discuz!是使用比較多的一個php論壇程序。以Discuz!7.0為例����,程序目
錄下有比較多的可以直接訪問的php文件����,但其中最容易受到攻擊的一般有index.php(首頁)�����、forumdisplay.php(板塊顯示)���、
viewthread.php(帖子顯示)。攻擊者一般會對這些頁面發(fā)起大量的請求�����,導致HTTP服務(wù)器連接數(shù)耗盡�����、mysql數(shù)據(jù)庫停止響應(yīng)��,最終導致
服務(wù)器崩潰�����。為了防止上述頁面被攻擊��,我們可以設(shè)定以下的規(guī)則進行防御:
http {
limit_zone myzone_bbs $binary_remote_addr 10m;
limit_req_zone $binary_remote_addr zone=bbs:10m rate=1r/s;
...
server {
...
location ~ ^/bbs/(index|forumdisplay|viewthread).php$ {
limit_conn myzone_bbs 3;
limit_req zone=bbs burst=2 nodelay;
root html;
fastcgi_pass unix:/dev/shm/php-cgi.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /usr/share/nginx/html$fastcgi_script_name;
includefastcgi_params;
}
}
}
應(yīng)用這條規(guī)則后,bbs目錄下的index.php��、forumdisplay.php和viewthread.php這些頁面同一個IP只許建立3個連接��,并且每秒只能有1個請求(突發(fā)請求可以達到2個)����。雖然這樣的規(guī)則一般來說對正常的用戶不會產(chǎn)生影響(極少有人在1秒內(nèi)打開3個頁面),但是為了防止影響那些手快的用戶訪問���,可以在nginx中自定義503頁面�,503頁面對用戶進行提示����,然后自動刷新。在Nginx中自定義503頁面:
error_page 503 /errpage/503.html;
503頁面的源代碼:
< head>
< title>頁面即將載入....
< meta http-equiv=content-type c>
< META NAME="ROBOTS" C>
< /head>
< body bgcolor="#FFFFFF">
< table cellpadding="0" cellspacing="0" border="0" width="700" align="center"height="85%">
Verdana, Tahoma; color: #666666; font-size: 11px">
頁面即將載入
你刷新頁面的速度過快��。請少安毋躁����,頁面即將載入...
[<
fontcolor=#666666>立即重新載入]
< /table>
< /body>
< /html>
< SCRIPT language=java script>
function update()
{
window.location.reload();
}
setTimeout("update()",2000);
< /script>
被動防御方法
雖然主動防御已經(jīng)抵擋了大多數(shù)HTTP GET FLOOD攻擊,但是道高一尺魔高一丈����,攻擊者會總會找到你薄弱的環(huán)節(jié)進行攻擊�。所以我們在這里也要介紹一下被動防御的一些方法�。
封IP地址
訪問者通過瀏覽器正常訪問網(wǎng)站,與服務(wù)器建立的連接一般不會超過20個�,我們可以通過腳本禁止連接數(shù)過大的IP訪問。以下腳本通過netstat命令列舉所有連接����,將連接數(shù)最高的一個IP如果連接數(shù)超過150�����,則通過 iptables阻止訪問:
#!/bin/sh
status=`netstat -na|awk '$5 ~ /[0-9]+:[0-9]+/ {print $5}' |awk -F ":" --'{print $1}' |sort -n|uniq -c |sort -n|tail -n 1`
NUM=`echo $status|awk '{print $1}'`
IP=`echo $status|awk '{print $2}'`
result=`echo "$NUM > 150" | bc`
if [ $result = 1 ]
then
echo IP:$IP is over $NUM, BAN IT!
/sbin/iptables -I INPUT -s $IP -j DROP
fi
運行crontab -e�����,將上述腳本添加到crontab每分鐘自動運行:
* * * * * /root/xxxx.sh
通過apache自帶的ab工具進行服務(wù)器壓力測試:
# ab -n 1000 -c 100 http://www.xxx.com/bbs/index.php
測試完成后�,我們就可以看到系統(tǒng)中有IP被封的提示:
#tail /var/spool/mail/root
Content-Type: text/plain; charset=ANSI_X3.4-1968
Auto-Submitted: auto-generated
X-Cron-Env:
X-Cron-Env:
X-Cron-Env: <;PATH=/usr/bin:/bin>
X-Cron-Env:
X-Cron-Env:
IP:58.246.xx.xx is over 1047, BAN IT!
至此,又一次HTTP GET FLOOD防御成功���。
根據(jù)特征碼屏蔽請求(對CC攻擊效果較好)
一般同一種CC攻擊工具發(fā)起的攻擊請求包總是相同的�,而且和正常請求有所差異���。當服務(wù)器遭遇CC攻擊時��,我們可以快速查看日志�,分析其請求的特征,比如User-agent����。下面的是某一次CC攻擊時的User-agent,Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-reva lidate幾乎沒有正常的瀏覽器會在User-agent中帶上“must-reva lidate”這樣的關(guān)鍵字��。所以我們可以以這個為特征進行過濾����,將User-agent中帶有“must-reva lidate”的請求全部拒絕訪問:
if ($http_user_agent ~ must-reva lidate) {
return 403;
}
本文主要介紹了nginx下的HTTP GET FLOOD防御,如果有不對的地方�,希望大家可以向我提出。同時����,也希望大家能夠舉一反三,把這種思路應(yīng)用到apache����、lighttpd等常見的web服務(wù)器中。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
