進(jìn)行CC防護(hù)時應(yīng)注意哪些問題���?CC攻擊對網(wǎng)站的運營是非常不利的,因此我們必須積極防范這種攻擊�,但有些網(wǎng)站在防范這種攻擊時可能會陷入誤區(qū)。CC是DDos攻擊的一種���,CC攻擊是借助代理服務(wù)器生成指向受害主機(jī)的合法請求���,實現(xiàn)DDoS和偽裝,是通過制造大量的后臺數(shù)據(jù)庫查詢動作來攻擊頁面�����,消耗目標(biāo)資源�����。
例如有些攻擊通常集中在一個時間段���,所以有些網(wǎng)站覺得在遇到這種攻擊時�,他們直接關(guān)閉自己的網(wǎng)站,以達(dá)到你想要的CC防護(hù)的目的�����,避免攻擊對網(wǎng)站造成損害��。而那些攻擊者就是為了讓你自己主動關(guān)閉網(wǎng)站�,用戶沒有辦法訪問你的網(wǎng)站����。然后你還不確定這次攻擊還會持續(xù)多久?等下次在打開網(wǎng)站時�����,攻擊很可能會持續(xù)攻擊�����。事實上你仍然沒有逃脫被襲擊的命運����。
CC攻擊這種應(yīng)用型攻擊與流量型DDoS的區(qū)別就是流量型DDoS是針對IP的攻擊,而CC攻擊的是服務(wù)器資源���。這里要重點介紹一下CC攻擊����。CC攻擊是一個依賴http協(xié)議,并通過構(gòu)造特殊的http請求導(dǎo)致服務(wù)器保持連接等待狀態(tài)���,直至服務(wù)器CPU�、內(nèi)存����、連接數(shù)等資源被打滿,從而造成拒絕服務(wù)的一種攻擊方式����,屬于典型的應(yīng)用層DDoS攻擊。
CC攻擊的特點和流量型DDoS攻擊最大的區(qū)別是并不需要大流量即可達(dá)到攻擊效果����。有些極端情況下在遭受此類攻擊的時候,流量特征可能沒有明顯的變化����,而業(yè)務(wù)層面出現(xiàn)訪問緩慢、超時等現(xiàn)象��,且大量訪問請求可能指向同一個或少數(shù)幾個頁面。
因為CC攻擊來的IP都是真實的�、分散的,且CC攻擊的請求����,全都是有效的請求,無法拒絕的請求�。對于此類攻擊,DDoS攻擊清洗設(shè)備的基礎(chǔ)算法的作用可能就沒那么明顯了��,需要在攻擊過程中實時抓取攻擊的特征��,對癥下藥���。
由于CC攻擊是典型的應(yīng)用層DDos攻擊,因此傳統(tǒng)安全設(shè)備��,如防火墻����、運營商清洗等很難起到很好的CC防護(hù)作用。目前業(yè)界通常會在應(yīng)用服務(wù)器前端部署具備安全功能的代理設(shè)備進(jìn)行防護(hù)�����,比如WAF、負(fù)載均衡等����,避免讓服務(wù)器直接面對CC攻擊。代理設(shè)備啟用資源代理和安全防護(hù)功能��,比如要求在接收完整的HTTP請求之后才會與服務(wù)器建立TCP連接并發(fā)送已收到的HTTP 請求����,此時攻擊者的請求直接被代理設(shè)備終結(jié)而不會發(fā)往服務(wù)器。
1�����、服務(wù)器垂直擴(kuò)展和水平擴(kuò)容
資金允許的情況下�����,這是最簡單的一種方法�����,本質(zhì)上講�����,這個方法并不是針對CC攻擊的,而是提升服務(wù)本身處理并發(fā)的能力����,但確實提升了CC防護(hù)的能力。
2����、取消域名綁定
一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊,攻擊者在攻擊工具中設(shè)定攻擊對象為該域名然后實施攻擊�。 對于這樣的攻擊我們的措施是取消這個域名的綁定,讓CC攻擊失去目標(biāo)���,達(dá)到。
3���、部署高防CDN防御
防御CC攻擊最簡單便捷的方法就是通過接入高防CDN來隱藏服務(wù)器源IP���,高防CDN可以自動識別惡意攻擊流量,對這些虛假流量進(jìn)行智能清洗�����,將正常訪客流量回源到源服務(wù)器IP上�,保障源服務(wù)器的正常穩(wěn)定運行��。
關(guān)于CC防護(hù)的措施:CC防護(hù)可以使用多種辦法��,比如禁止網(wǎng)站代理訪問���、盡量將網(wǎng)站做成靜態(tài)頁面、約束銜接數(shù)量����、修改最大超時時刻等。
另外借鑒已有的經(jīng)驗��,還可以使用兩方面的DDoS保護(hù)方法來緩解CC攻擊:(1)啟用基于瀏覽器的挑戰(zhàn):Web應(yīng)用程序防火墻(WAF)可以使用基于挑戰(zhàn)的算法來過濾出CC攻擊機(jī)器人���������;谌蚬苍苹A(chǔ)架構(gòu),可以通過Multi CDN利用該計算能力來根據(jù)攻擊按比例自動調(diào)整CC防護(hù)���。正是這種力量能夠抵御每分鐘CC攻擊3億次的請求�。(2)地理位置限制:通過確保來自主要用戶群的國家和地區(qū)的流量����,并阻止來自已知的“攻擊區(qū)域”的流量�,來限制特定區(qū)域的傳入流量�����。
CC不像DDOS可以用硬件防火墻來過濾攻擊����,硬件防火墻對他起不到很好的CC防護(hù)效果,因為CC攻擊本身的請求就是正常的請求�。如果你的站被瞄上了,最有效的解決方法就是更換域名��,更換IP��。雖說有效���,但是一般沒幾個人會這么做。如果容易被CC攻擊����,建議提前安裝軟防。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
