網(wǎng)絡(luò)攻擊橫行的互聯(lián)網(wǎng)時(shí)代�,CC攻擊可謂是較為常見的攻擊手段����,也是需要網(wǎng)站抵擋的攻擊之一�,想要保護(hù)好網(wǎng)站,就需要做好應(yīng)對攻擊的CC防護(hù)措施�����。管理網(wǎng)站和服務(wù)器的時(shí)候�����,最害怕的就是網(wǎng)站受到CC攻擊�����,特別是一般的服務(wù)器帶寬并不大����,當(dāng)受到CC攻擊的時(shí)候,很容易就因?yàn)橘Y源被完全搶占而導(dǎo)致服務(wù)器崩潰����。
CC攻擊:
CC攻擊全稱Challenge Collapsar,中文意思是挑戰(zhàn)黑洞,因?yàn)橐郧暗牡挚笵DoS攻擊的安全設(shè)備叫黑洞��,顧名思義挑戰(zhàn)黑洞就是說黑洞拿這種攻擊沒辦法����,新一代的抗DDoS設(shè)備已經(jīng)改名為ADS(Anti-DDoS System),基本上已經(jīng)可以完美的抵御CC攻擊了���。CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個(gè)用戶訪問目標(biāo)網(wǎng)站的動(dòng)態(tài)頁面����,制造大量的后臺(tái)數(shù)據(jù)庫查詢動(dòng)作����,消耗目標(biāo)CPU資源���,造成拒絕服務(wù)��。CC不像DDoS可以用硬件防火墻來過濾攻擊��,CC攻擊本身的請求就是正常的請求����。我們都知道網(wǎng)站的頁面有靜態(tài)和動(dòng)態(tài)之分�����,動(dòng)態(tài)網(wǎng)頁是需要與后臺(tái)數(shù)據(jù)庫進(jìn)行交互的,比如一些論壇用戶登錄的時(shí)候需要去數(shù)據(jù)庫查詢你的等級����、權(quán)限等等,當(dāng)你留言的時(shí)候又需要查詢權(quán)限�、同步數(shù)據(jù)等等,這就消耗很多CPU資源���,造成靜態(tài)網(wǎng)頁能打開��,但是需要和數(shù)據(jù)庫交互的動(dòng)態(tài)網(wǎng)頁打開慢或者無法打開的現(xiàn)象�����。這種攻擊方式相對于前兩種實(shí)現(xiàn)要相對復(fù)雜一些��,但是防御起來要簡單的多�,提供服務(wù)的企業(yè)只要盡量少用動(dòng)態(tài)網(wǎng)頁并且讓一些操作提供驗(yàn)證碼就能抵御一般的CC攻擊���。
有關(guān)實(shí)施CC防護(hù)那些你一定要了解的問題����,如何更加完善呢?
CC攻擊的原理很簡單�����,就是對一些消耗資源較大的應(yīng)用頁面不斷地發(fā)起正常的請求���,以達(dá)到消耗服務(wù)端資源的目的����,在web應(yīng)用中���,查詢數(shù)據(jù)庫、讀寫硬盤文件的操作��,相對都會(huì)消耗比較多的資源����。
CC主要是用來攻擊頁面的,大家都有這樣的經(jīng)歷����,就是在訪問論壇時(shí),如果這個(gè)論壇比較大,訪問的人比較多����,打開頁面的速度會(huì)比較慢,訪問的人越多�����,論壇的頁面越多����,數(shù)據(jù)庫壓力就越大,被訪問的頻率也越高�����,占用的系統(tǒng)資源也就越多��。
網(wǎng)站在進(jìn)行CC防護(hù)時(shí)需要注意的問題是寬帶問題�。有人說,增加寬帶可以有效防止這種攻擊��。事實(shí)上黑客能調(diào)用的資源已經(jīng)非常龐大���,增加寬帶不一定能阻止這種攻擊���,有時(shí)提高寬帶很有可能會(huì)損失你的寬帶成本���。這種攻擊,50兆寬帶對于很多網(wǎng)站來說已經(jīng)非常大了���,但是現(xiàn)在黑客在調(diào)集了巨大的資源后����,可以提供的單位流量攻擊遠(yuǎn)遠(yuǎn)超過50兆�,所以說通過增加寬帶來抵御這種攻擊顯然是一種愚蠢的方法。
有些人在CC防護(hù)時(shí)可能會(huì)有另一種誤解����,就是認(rèn)為可以依靠殺毒軟件來防止CC攻擊。的確���,在服務(wù)器上安裝殺毒軟件現(xiàn)在已經(jīng)是很多人的操作模式,但是這些殺毒軟件只能防止常見的攻擊����,而無法抵御這種大規(guī)模的攻擊。
殺毒軟件的有時(shí)甚至比服務(wù)器的防火墻還要差�����。安裝殺毒軟件會(huì)關(guān)閉服務(wù)器的防火墻,這樣服務(wù)器防火墻的保護(hù)將丟失�。因此,所謂的網(wǎng)絡(luò)攻擊防護(hù)軟件實(shí)際上是沒有用的�����,都無法抵御這種大規(guī)模的攻擊���。
了解了以上關(guān)于網(wǎng)站進(jìn)行CC防護(hù)的問題之后�����,很多人可能會(huì)擔(dān)心這樣的攻擊根本就無法防御嗎��?其實(shí)�,也不用過于擔(dān)心�����,因?yàn)檫@種攻擊是一種大規(guī)模��、強(qiáng)大的攻擊�����,所以一般不會(huì)針對一些小網(wǎng)站。
有關(guān)實(shí)施CC防護(hù)那些你一定要了解的問題�,如何更加完善呢?
CC攻擊防御
1.取消域名綁定
一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊�����,比如我們的網(wǎng)站域名是“www.abc.com”����,那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實(shí)施攻擊。 對于這樣的攻擊我們的措施是取消這個(gè)域名的綁定�,讓CC攻擊失去目標(biāo)。
2.域名欺騙解析
如果發(fā)現(xiàn)針對域名的CC攻擊����,我們可以把被攻擊的域名解析到127.0.0.1這個(gè)地址上。我們知道127.0.0.1是本地回環(huán)IP是用來進(jìn)行網(wǎng)絡(luò)測試的����,如果把被攻擊的域名解析到這個(gè)IP上,就可以實(shí)現(xiàn)攻擊者自己攻擊自己的目的����,這樣他再多的肉雞或者代理也會(huì)宕機(jī),讓其自作自受����。
3.更改Web端口
一般情況下Web服務(wù)器通過80端口對外提供服務(wù),因此攻擊者實(shí)施攻擊就以默認(rèn)的80端口進(jìn)行攻擊��,所以��,我們可以修改Web端口達(dá)到防CC攻擊的目的�。運(yùn)行IIS管理器,定位到相應(yīng)站點(diǎn)���,打開站點(diǎn)“屬性”面板��,在“網(wǎng)站標(biāo)識”下有個(gè)TCP端口默認(rèn)為80���,我們修改為其他的端口就可以了。
4.屏蔽IP
我們通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP����,就可以在防火墻中設(shè)置屏蔽該IP對Web站點(diǎn)的訪問,從而達(dá)到防范攻擊的目的���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
