CC攻擊可以歸為DDoS攻擊的一種����。他們之間的原理都是一樣的,即發(fā)送大量的請求數(shù)據(jù)來導(dǎo)致服務(wù)器拒絕服務(wù)��,是一種連接攻擊�。
CC攻擊全稱Challenge Collapsar,中文意思是挑戰(zhàn)黑洞�����。說起來這里面還有個小故事:以前,人們將抵抗DDoS攻擊的安全設(shè)備叫“黑洞”�����,意思是任何攻擊在黑洞面前都是無效的���,全都會被黑洞吞噬������?梢院诳蛡儾辉敢饬�����,既然你叫“黑洞”���,我就挑戰(zhàn)你�����,顧名思義挑戰(zhàn)黑洞就是說黑洞拿這種攻擊沒辦法���。不過�,新一代的抗DDoS設(shè)備基本上已經(jīng)可以完美的抵御CC攻擊了���。所謂魔高一尺道高一尺五���。
相比其它的DDoS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見不到真實源IP��,見不到特別大的異常流量�����,但造成服務(wù)器無法進行正常連接��。最讓站長們憂慮的是這種攻擊技術(shù)含量低����,利用更換IP代理工具和一些IP代理一個初����、中級的電腦水平的用戶就能夠?qū)嵤┕簟R虼�����,大家有必要了解CC攻擊的原理及如果發(fā)現(xiàn)CC攻擊和對其的防范措施。
CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個用戶訪問目標(biāo)網(wǎng)站的動態(tài)頁面�,制造大量的后臺數(shù)據(jù)庫查詢動作,消耗目標(biāo)CPU資源��,造成拒絕服務(wù)�。CC不可以用硬件防火墻來過濾攻擊,CC攻擊本身的請求就是正常的請求����。我們都知道網(wǎng)站的頁面有靜態(tài)和動態(tài)之分,動態(tài)網(wǎng)頁是需要與后臺數(shù)據(jù)庫進行交互的�,比如一些論壇用戶登錄的時候需要去數(shù)據(jù)庫查詢你的等級、權(quán)限等等���,當(dāng)你留言的時候又需要查詢權(quán)限���、同步數(shù)據(jù)等等,這就消耗很多CPU資源�����,造成靜態(tài)網(wǎng)頁能打開���,但是需要和數(shù)據(jù)庫交互的動態(tài)網(wǎng)頁打開慢或者無法打開的現(xiàn)象��。這種攻擊方式相對于前兩種實現(xiàn)要相對復(fù)雜一些��,但是防御起來要簡單的多�,提供服務(wù)的企業(yè)只要盡量少用動態(tài)網(wǎng)頁并且讓一些操作提供驗證碼就能抵御一般的CC攻擊。
cc攻擊特點�,網(wǎng)站防御策略
HTTP/CC 攻擊的特點:
HTTP/CC 攻擊的 ip 都是真實的,分散的����;
HTTP/CC 攻擊的數(shù)據(jù)包都是正常的數(shù)據(jù)包;
HTTP/CC 攻擊的請求都是有效請求�����,且無法拒絕��;
HTTP/CC 攻擊的是網(wǎng)頁���,服務(wù)器可以連接�,ping 也沒問題��,但是網(wǎng)頁就是訪問不了���;如果 IIS 一開�,服務(wù)器很快就死��,容易丟包����。
如果 Web 服務(wù)器支持 HTTPS,那么進行 HTTPS 洪水攻擊是更為有效的一種攻擊方式�����。
原因有二:
其一��,在進行 HTTPS 通信時�����,Web 服務(wù)器需要消耗更多的資源用來認(rèn)證和加解密���。
其二�����,目前一部分防護設(shè)備無法對 HTTPS 通信數(shù)據(jù)流進行處理��,會導(dǎo)致攻擊流量繞過防護設(shè)備����,直接對 Web 服務(wù)器造成攻擊。
簡易CC攻擊防御方法:
1.把網(wǎng)站做成靜態(tài)頁面:
大量事實證明���,把網(wǎng)站盡可能做成靜態(tài)頁面����,不僅能大大提高抗攻擊能力��,而且還給駭客入侵帶來不少麻煩�����,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)����,看看吧!新浪����、搜狐����、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面�����,若你非需要動態(tài)腳本調(diào)用�����,那就把它弄到另外一臺單獨主機去�����,免的遭受攻擊時連累主服務(wù)器��。
2.服務(wù)器前端加CDN中轉(zhuǎn)
如果資金充裕的話�����,可以購買高防的盾機��,用于隱藏服務(wù)器真實IP�����,域名解析使用CDN的IP�,所有解析的子域名都使用CDN的IP地址。
此外�,服務(wù)器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析����。
另外,防止服務(wù)器對外傳送信息泄漏IP地址���,最常見的情況是����,服務(wù)器不要使用發(fā)送郵件功能��,因為郵件頭會泄漏服務(wù)器的IP地址��。
如果非要發(fā)送郵件�,可以通過第三方代理(例如sendcloud)發(fā)送,這樣對外顯示的IP是代理的IP地址�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
