方案 不用防火牆自動對付CC攻擊

2021-04-28 22:48:50 字數 3893 閱讀 5582

cc攻擊原理

cc主要是用來攻擊頁面的.大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,開啟頁面的速度會比較慢,對不?!一般來說,訪問的人越多,論壇的頁面越多,資料庫就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀,現在知道為什麼很多空間服務商都說大家不要上傳論壇,聊天室等東西了吧.

乙個靜態頁面不需要伺服器多少資源,甚至可以說直接從記憶體中讀出來發給你就可以了,但是論壇就不一樣了,我看乙個帖子,系統需要到資料庫中判斷我是否有讀讀帖子的許可權,如果有,就讀出帖子裡面的內容,顯示出來——這裡至少訪問了2次資料庫,如果資料庫的體積有200mb大小,系統很可能就要在這200mb大小的資料空間搜尋一遍,這需要多少的cpu資源和時間?如果我是查詢乙個關鍵字,那麼時間更加可觀,因為前面的搜尋可以限定在乙個很小的範圍內,比如使用者許可權只查使用者表,帖子內容只查帖子表,而且查到就可以馬上停止查詢,而搜尋肯定會對所有的資料進行一次判斷,消耗的時間是相當的大.

cc就是充分利用了這個特點,模擬多個使用者(多少執行緒就是多少使用者)不停的進行訪問(訪問那些需要大量資料操作,就是需要大量cpu時間的頁面).

攻擊現象:

伺服器的流量瞬間可達到幾十m以上,**打不開。重啟iis會發現流量馬上就降下來。檢視iis日誌會發現很多不同的ip都反覆訪問乙個相同的檔案。檢視c:windowssystem32logfileshttperr 會發現很多出錯的iis日誌,如下:

可以看出很多不同的ip都在訪問list.asp這個檔案。以上現象就是cc攻擊的特徵。根據發動cc攻擊所使用的肉機數量,小的攻擊可以導致**很慢或者不穩定,大的攻擊可以讓**一直都無法開啟。

因這類攻擊,是模擬正常使用者不斷請求乙個網頁。所以一般的防火牆很難防禦。下面我們根據實際工作經驗,講一下如何不用防火牆來解決這個攻擊問題。

因為cc攻擊都是使用的肉機或**來訪問我們的伺服器的,它跟synflood攻擊不一樣。synfoold一直是不斷變化的虛假ip,而cc攻擊的ip都是真實的ip而基本上不變化的,只要我們用安全策略把這些ip全部封掉就可以了。

看過有網友介紹的方法,不過是手工一條一條地封,而攻擊ip一般都是數千個不同的ip。用手工封ip的辦法太麻煩。下面我們用程式來實現自動封這些ip!

程式主要是讀取這個**的iis日誌,分析出其中的ip位址,用安全策略自動封閉。vbs**如下:

'**開始

set fileobj=createobject("scripting.filesystemobject")

logfilepath="e:w3logw3svc237ex070512old.log" '注意指定受攻擊**的日誌路徑。

'如果是虛擬主機,要查是哪個**受攻擊,可以檢視:c:windowssystem32logfileshttperr ,

根據錯誤日誌很容易分析出來。

writelog "netsh ipsec static add policy name=xblue"

writelog "netsh ipsec static add filterlist name=denyip"

overip=""

f_name=logfilepath

'指定日誌檔案

'程式功能:把logfiles中的ip提取成ipsec需要的過濾格式,匯入ipsec中過濾。適合某個**受大量cc攻擊的情況。

set fileobj88=createobject("scripting.filesystemobject")

set myfile=fileobj88.opentextfile(f_name,1,false)

contentover=myfile.readall()

contentip=lcase(contentover)

myfile.close

set fileobj88=nothing

on error resume next

myline=split(contentip,chr(13))

for i=0 to ubound(myline)-1

myline2=split(myline(i)," ")

newip=myline2(6)

'指定分離的標識字串!

if instr(overip,newip)=0 then '去除重複的ip。

overip=overip&newip

dsafasf=split(newip,".")

if ubound(dsafasf)=3 then

writelog "netsh ipsec static add filter filterlist=denyip srcaddr="&newip&" dstaddr=me

dstport=80 protocol=tcp"

end if

else

wscript.echo newip &" is exits!"

end if

next

writelog "netsh ipsec static add filteraction name=denyact action=block"

writelog "netsh ipsec static add rule name=kill3389 policy=xblue filterlist=denyip

filteraction=denyact"

writelog "netsh ipsec static set policy name=xblue assign=y"

sub writelog(errmes) '匯出ipsec的策略檔案為乙個bat檔案。

ipfilename="denyerrorip.bat"

set logfile=fileobj.opentextfile(ipfilename,8,true)

logfile.writeline errmes

logfile.close

set logfile=nothing

end sub

'**結束

把上述**存為乙個.vbs檔案,設定好其中日誌的路徑。雙擊執行即可,執行完畢後生成乙個denyerrorip.bat檔案,這個是ipsec所需要的策略檔案,直接雙擊執行即可。

執行完畢即可解決cc攻擊問題。

摘自 青雲

不用防火牆自動對付CC攻擊防範vbs

cc攻擊原理 cc主要是用來攻擊頁面的.大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,開啟頁面的速度會比較慢,對不?一般來說,訪問的人越多,論壇的頁面越多,資料庫就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀,現在知道為什麼很多空間服務商都說大家不要上傳論壇,聊天...

防火牆 網路攻擊介紹

被動攻擊 被動攻擊最大的特點是對想竊取資訊進行偵聽,以獲取機密資訊.而對資料的擁有者或者合法使用者來說,對此類活動無法得知,所以被動攻擊主要關注防範,而非檢測.目前針對此類攻擊行為,一般都是採用加密技術來保護資訊的機密性.主動攻擊 主動攻擊主要包括對業務資料流報文首部或資料載荷部分進行假冒或篡改,以...

防火牆技術與網路攻擊

防火牆技術與網路攻擊 考法分析 本知識點的考查形式主要有 對於防火牆技術的描述判斷正誤 給定一些描述判斷所屬的網路攻擊分類或具體的網路攻擊方式 主要有拒絕服務 流量分析 重放等 要點分析 1 網路攻擊分類如下圖所示 2 常見的攻擊行為 1 拒絕服務 攻擊者利用眾多傀儡主機向伺服器傳送服務請求,導致伺...