一次防CC攻擊案例

2021-12-29 20:34:04 字數 3564 閱讀 6889

名詞解釋:摘自百度百科

名稱起源  cc = challenge collapsar,其前身名為fatboy攻擊,是利用不斷對**傳送連線請求致使形成拒絕服務的目的,

cc攻擊是ddos(分布式拒絕服務)的一種,相比其它的ddos攻擊cc似乎更有技術含量一些。這種攻擊你見不到真實源ip,見不到特別大的異常流量,但造成伺服器無法進行正常連線。最讓站長們憂慮的是這種攻擊技術含量低,利用工具和一些ip**乙個初、中級的電腦水平的使用者就能夠實施攻擊。因此,大家有必要了解cc攻擊的原理及如果發現cc攻擊和對其的防範措施。

cc攻擊的原理

cc攻擊的原理就是攻擊者控制某些主機不停地發大量資料報給對方伺服器造成伺服器資源耗盡,一直到宕機崩潰。cc主要是用來攻擊頁面的,每個人都有這樣的體驗:當乙個網頁訪問的人數特別多的時候,開啟網頁就慢了,cc就是模擬多個使用者(多少執行緒就是多少使用者)不停地進行訪問那些需要大量資料操作(就是需要大量cpu時間)的頁面,造成伺服器資源的浪費,cpu長時間處於100%,永遠都有處理不完的連線直至就網路擁塞,正常的訪問被中止。

防cc攻擊

cc攻擊可以歸為ddos攻擊的一種。他們之間的原理都是一樣的,即傳送大量的請求資料來導致伺服器拒絕服務,是一種連線攻擊。cc攻擊又可分為**cc攻擊,和肉雞cc攻擊。**cc攻擊是黑客借助**伺服器生成指向受害主機的合法網頁請求,實現dos,和偽裝就叫:cc(challenge collapsar)。而肉雞cc攻擊是黑客使用cc攻擊軟體,控制大量肉雞,發動攻擊,相比來後者比前者更難防禦。因為肉雞可以模擬正常使用者訪問**的請求。偽造成合法資料報。

cc攻擊主要是用來攻擊**的。想必大家都有這樣的經歷,就是在訪問某個**時,如果這個**比較大,訪問的人比較多,開啟頁面的速度會比較慢,對不?!一般來說,訪問的人越多,論壇的頁面越多,資料庫就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀,現在知道為什麼很多空間服務商都說大家不要上傳論壇,聊天室等東西了吧。

乙個靜態頁面不需要伺服器多少資源,甚至可以說直接從記憶體中讀出來發給你就可以了,但是論壇之類的動態**就不一樣了,我看乙個帖子,系統需要到資料庫中判斷我是否有讀帖子的許可權,如果有,就讀出帖子裡面的內容,顯示出來——這裡至少訪問了2次資料庫,如果資料庫的體積有200mb大小,系統很可能就要在這200mb大小的資料空間搜尋一遍,這需要多少的cpu資源和時間?如果我是查詢乙個關鍵字,那麼時間更加可觀,因為前面的搜尋可以限定在乙個很小的範圍內,比如使用者許可權只查使用者表,帖子內容只查帖子表,而且查到就可以馬上停止查詢,而搜尋肯定會對所有的資料進行一次判斷,消耗的時間是相當的大。

cc攻擊就是充分利用了這個特點,模擬多個使用者(多少執行緒就是多少使用者)不停的進行訪問(訪問那些需要大量資料操作,就是需要大量cpu時間的頁面,比如asp/php/jsp/cgi)。很多朋友問到,為什麼要使用**呢?因為**可以有效地隱藏自己的身份,也可以繞開所有的防火牆,因為基本上所有的防火牆都會檢測併發的tcp/ip連線數目,超過一定數目一定頻率就會被認為是connection-flood。當然也可以使用肉雞發動cc攻擊。肉雞的cc攻擊效果更可觀。致使伺服器cpu%100,甚至宕機的現象。

使用**攻擊還能很好的保持連線,我們這裡傳送了資料,**幫我們**給對方伺服器,我們就可以馬上斷開,**還會繼續保持著和對方連線(我知道的記錄是有人利用2000個**產生了35萬併發連線)。

當然,cc也可以利用這裡方法對ftp、遊戲埠、聊天房間等進行攻擊,也可以實現tcp-flood,這些都是經過測試有效的。

防禦cc攻擊可以通過多種方法,禁止****訪問,盡量將**做成靜態頁面,限制連線數量等。

事發前:本來我的這個受攻擊站點是公司下線的乙個業務,但**仍在執行,已經沒什麼訪問量了。可是受攻擊當天我發現監控上此站點的連線數從8點開始往上飆公升,於是登入**檢視**人數,結果實際登入人數就我乙個!而網絡卡流量還不到50k,問題出現了就得解決啊

於是開啟訪問日誌檢視,日誌裡不停的記錄著非本站點的訪問,比如我站點網域名稱為www.51cto.com 但是日誌裡記錄的內容如下(此日誌是我處理cc攻擊後的,只是讓大家看個訪問的現象):

此ip短時間傳送大量這種非對本站訪問的連線,於是先把他給在防火牆上斃掉:

#!/bin/sh

ip=`tail -n 1000 /data/logs/test.log  | awk '' | sort | uniq -c | sort -rn| awk '$1 > 100 '`

for i in $ip

doiptables -i input -p tcp --dport 80 -s $i -j drop

done

這樣連線數立馬下降到正常水平,除了在iptables上這麼處理,還有就是禁用了nginx虛擬主機的空主機頭:

server

}對以ip訪問的請求統統拒絕訪問。開始以為是某地區dns解析問題,經分析日誌,**的ip分布全球各地。初步判斷,這是被其他**伺服器發起的攻擊。

防cc攻擊策略

黑客攻擊你的 會採取各種各樣的手段,其中為了降低你 的訪問速度,甚至讓你的伺服器癱瘓,它會不斷的重新整理你的 或者模擬很多使用者同一時間大量的訪問你的 using system using system.configuration using system.data using system.web...

國慶節的一次CC攻擊經歷

發生的情況 公司的幾個 都打不開,一開啟就報重定向錯誤 找到的問題與解決 1.確實是有大量惡意訪問.解決辦法 一查詢到攻擊ip,一一使用nginx,禁止,這個確實花了不少時間.二給 新增ddos的應用.2.大量訪問照成日誌過多,磁碟滿了.新增新磁碟掛載到日誌所在目錄 總結 1.國慶這種長假,一定要做...

一次sql注入攻擊

喜歡學習 但是不想找漏洞 好麻煩 還不一定有乙個漏洞 是我在google上搜到的 畫面看著高大上 乙個頁面乙個頁面的找,尋找有輸入引數的地方,然後進行測試 本來我以為沒有注入的時候 突然 看到了一小句話 wow 有報錯資訊 可以進行報錯注入 想著可以提交烏雲了 然後先 order by 測試下有幾個...