CC攻擊對網站的運營是非常不利的�,因此我們必須積極防范這種攻擊,但有些網站在防范這種攻擊時可能會陷入誤區(qū)�����。CC是DDos攻擊的一種���,CC攻擊是借助代理服務器生成指向受害主機的合法請求�,實現DDoS和偽裝����,是通過制造大量的后臺數據庫查詢動作來攻擊頁面,消耗目標資源����。
例如有些攻擊通常集中在一個時間段,所以有些網站覺得在遇到這種攻擊時�,他們直接關閉自己的網站,以達到你想要的CC防護的目的�,避免攻擊對網站造成損害。而那些攻擊者就是為了讓你自己主動關閉網站���,用戶沒有辦法訪問你的網站���。然后你還不確定這次攻擊還會持續(xù)多久��?等下次在打開網站時����,攻擊很可能會持續(xù)攻擊����。事實上你仍然沒有逃脫被襲擊的命運���。
CC攻擊這種應用型攻擊與流量型DDoS的區(qū)別就是流量型DDos是針對IP的攻擊�,而CC攻擊的是服務器資源�。這里要重點介紹一下CC攻擊。CC攻擊是一個依賴http協(xié)議�,并通過構造特殊的http請求導致服務器保持連接等待狀態(tài),直至服務器CPU��、內存��、連接數等資源被打滿�����,從而造成拒絕服務的一種攻擊方式,屬于典型的應用層DDos攻擊�����。
CC攻擊的特點和流量型DDoS攻擊最大的區(qū)別是并不需要大流量即可達到攻擊效果���。有些極端情況下在遭受此類攻擊的時候�����,流量特征可能沒有明顯的變化����,而業(yè)務層面出現訪問緩慢��、超時等現象��,且大量訪問請求可能指向同一個或少數幾個頁面���。
因為CC攻擊來的IP都是真實的�����、分散的���,且CC攻擊的請求�����,全都是有效的請求���,無法拒絕的請求。對于此類攻擊��,DDoS攻擊清洗設備的基礎算法的作用可能就沒那么明顯了���,需要在攻擊過程中實時抓取攻擊的特征,對癥下藥�。
CC攻擊便是充分利用了這個特點,許多朋友問到���,為什么要運用代理呢����?由于代理能夠有用地隱藏自己的身份,也能夠繞開防火墻�,由于基本防火墻都會檢測并發(fā)的TCP/IP銜接數目,超越必定數目必定頻率就會被認為是Connection-Flood����。當然也能夠運用肉雞發(fā)起CC攻擊,可將CC防護的難度提升一個層次���,致使服務器CPU%100�����,乃至死機的現象�����。
CC攻擊是DDoS攻擊的一種����,他們的原理都是相同的����,即發(fā)送許多的請求數據來導致服務器拒絕服務,是一種銜接攻擊���。CC攻擊的原理是攻擊者控制某些主機不停地發(fā)許多數據包給對方服務器形成服務器資源耗盡��,一直到宕機崩潰���。
CC主要是用來攻擊頁面的����,每個人都有這樣的體會:當一個網頁請求的人數特別多的時候�,打開網頁就慢了,CC便是模仿多個用戶(多少線程便是多少用戶)不停地進行請求那些需求許多數據操作的頁面��,形成服務器資源的浪費��,CPU長時刻處于100%�,永久都有處理不完的連接直至就網絡擁塞,正常的請求被中斷���。
一個靜態(tài)頁面不需求服務器多少資源,乃至能夠說直接從內存中讀出來發(fā)給你就能夠了�,可是論壇之類的動態(tài)網站就不相同了,我看一個帖子��,需要到數據庫中判斷我是否有讀帖子的權限����,如果有�,就讀出帖子里邊的內容�����,顯示出來�。至少拜訪了2次數據庫,如果數據庫的體積有200MB��,體系很可能就要在這200MB的數據空間查找一遍�,這需求多少的CPU資源和時刻?
關于CC防護的措施:CC防護可以使用多種辦法���,比如禁止網站代理訪問����、盡量將網站做成靜態(tài)頁面���、約束銜接數量�����、修改最大超時時刻等���。
另外借鑒已有的經驗�,還可以使用兩方面的DDoS保護方法來緩解CC攻擊:(1)啟用基于瀏覽器的挑戰(zhàn):Web應用程序防火墻(WAF)可以使用基于挑戰(zhàn)的算法來過濾出CC攻擊機器人����。基于全球公共云基礎架構����,可以通過Multi CDN利用該計算能力來根據攻擊按比例自動調整CC防護。正是這種力量能夠抵御每分鐘CC攻擊3億次的請求��。(2)地理位置限制:通過確保來自主要用戶群的國家和地區(qū)的流量����,并阻止來自已知的“攻擊區(qū)域”的流量,來限制特定區(qū)域的傳入流量�。
CC不像DDOS可以用硬件防火墻來過濾攻擊,硬件防火墻對他起不到很好的CC防護效果�,因為CC攻擊本身的請求就是正常的請求。如果你的站被瞄上了�����,最有效的解決方法就是更換域名��,更換IP���。雖說有效��,但是一般沒幾個人會這么做���。如果容易被CC攻擊,建議提前安裝軟防�����。
由于CC攻擊是典型的應用層DDos攻擊���,因此傳統(tǒng)安全設備�,如防火墻�、運營商清洗等很難起到很好的CC防護作用。目前業(yè)界通常會在應用服務器前端部署具備安全功能的代理設備進行防護����,比如WAF、負載均衡等���,避免讓服務器直接面對CC攻擊�����。代理設備啟用資源代理和安全防護功能����,比如要求在接收完整的HTTP請求之后才會與服務器建立TCP連接并發(fā)送已收到的HTTP 請求,此時攻擊者的請求直接被代理設備終結而不會發(fā)往服務器�����。
1���、服務器垂直擴展和水平擴容
資金允許的情況下����,這是最簡單的一種方法�����,本質上講���,這個方法并不是針對CC攻擊的����,而是提升服務本身處理并發(fā)的能力�����,但確實提升了CC防護的能力����。
2、取消域名綁定
一般cc攻擊都是針對網站的域名進行攻擊����,攻擊者在攻擊工具中設定攻擊對象為該域名然后實施攻擊。 對于這樣的攻擊我們的措施是取消這個域名的綁定�,讓CC攻擊失去目標,達到�����。
3����、部署高防CDN防御
防御CC攻擊最簡單便捷的方法就是通過接入高防CDN來隱藏服務器源IP,高防CDN可以自動識別惡意攻擊流量���,對這些虛假流量進行智能清洗���,將正常訪客流量回源到源服務器IP上�����,保障源服務器的正常穩(wěn)定運行�����。
我們可以對CC攻擊的攻擊特征進行針對性CC防護配置�����,因為當發(fā)生了CC攻擊的時候��,抓包后可以很明顯的發(fā)現大量的訪問都集中在某幾個或者多個頁面����。一般情況客戶在訪問業(yè)務的時候不會集中在幾個頁面��,而是比較分散的�����。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
