cc 攻擊的前身是 ddos 攻擊(分布式拒絕攻擊)。 ddos 攻擊的原理針對 tcp/ip
協議的缺陷,也不能算是缺陷,只是當時設計該協議時是在幾十年前,設計者假定大家都是遵守遊戲規則的良好公民,現在網際網路環境比當時要複雜得多,但是仍在使用以前的協議,所以才會帶來某些問題。兩台機器通訊要進行乙個所謂的三次握手,首先是客戶機發出乙個請求
(syn) ,伺服器收到該請求後,填寫會話資訊表 (tcb,儲存在記憶體中),並且向客戶機反饋乙個回應包 (syn-ack) ,此時連線處於 time_wait
狀態,如果最終沒有收到客戶機的 ack 資訊包,會嘗試隔一段時間再傳送一次回應包
syn-ack,這樣經過多次重試後,客戶機還沒有回應的話,伺服器才會關閉會話,並從 tcb 中刪除掉該會話。這個等待過程大約為 30
秒。當攻擊者同時發起十萬計的請求時 (syn) 到伺服器開放的埠,並且本身拒絕傳送 syn-ack 回應時,伺服器的的 tcb
將會很快超過負荷,並且攻擊者可以偽造包中的源 ip 位址,這樣攻擊者還不會被伺服器返回的包堵住。可以看出這是 tcp/ip
協議中乙個相當嚴重的問題。通過防火牆策略審核過濾資料報,可以從一定程度上防止 ddos 攻擊。
cc 攻擊跟 ddos 攻擊本質上是一樣的,都是以消耗伺服器資源為目的,目前看來,它主要針對 web
應用程式比較消耗資源的地方進行瘋狂請求,比如,論壇中的搜尋功能,如果不加以限制,任由人搜尋,普通配置的伺服器在幾百個併發請求下,mysql
服務就掛掉了。
cc攻擊的種類有三種,直接攻擊,**攻擊,殭屍網路攻擊,直接攻擊主要針對有重要缺陷的 web
應用程式,一般說來是程式寫的有問題的時候才會出現這種情況,比較少見。殭屍網路攻擊有點類似於 ddos 攻擊了,從 web
應用程式層面上已經無法防禦,所以這兩種情況我們不進行深入的**,這裡要主要討論第二種,**攻擊,cc 攻擊者一般會操作一批**伺服器,比方說 100
個**,然後每個**同時發出 10 個請求,這樣 web 伺服器同時收到 1000
個併發請求的,並且在發出請求後,立刻斷掉與**的連線,避免**返回的資料將本身的頻寬堵死,而不能發動再次請求,這時 web
伺服器會將響應這些請求的程序進行佇列,資料庫伺服器也同樣如此,這樣一來,正常請求將會被排在很後被處理,就象本來你去食堂吃飯時,一般只有不到十個人在排隊,今天前面卻插了一千個人,那麼輪到你的機會就很小很小了,這時就出現頁面開啟極其緩慢或者白屏。
防禦 cc 攻擊
discuz!5.5 在以往抗 cc
的基礎上又加了兩種方法,可以根據實際遭受攻擊的情況,通過配置組合出適合的抵抗方法。限於篇幅,不詳細闡述對抗原理,現將配置方法做下簡要說明。
配置檔案 config.inc.php
$attackevasive = 0; // 論壇防禦級別,可防止大量的非正常請求造成的拒絕服務攻擊// 防護大量正常請求造成的拒絕服務攻擊,// 0=關閉, 1=cookie 重新整理限制, 2=限制**訪問, 4=二次請求, 8=回答問題(第一次訪問時需要回答問題)// 組合為: 1|2, 1|4, 2|8, 1|2|4...
正常情況下設定為 0,在遭到攻擊時,分析其攻擊手法和規律,組合使用。可以嘗試先設定為 2, 2|4, 1|2|4|, 1|2|4|8, 如果
1|2|4|8 還不行,我們認為應用程式層面上已經抵擋不住,可能主機遭受的攻擊來自於殭屍網路的 ddos 攻擊了,我們建議您從防火牆策略上入手。
利用incapsula緩解ddos攻擊
針對ddos的幾種攻擊型別,可以利用incapsula進行ddos緩解。既可抵禦所有ddos attack types,又無需安裝任何額外的軟體或硬體,幾分鐘內,就可以受益於incapsula的綜合效益 基於雲的殭屍網路ddos保護服務。一旦遭受網路層攻擊,incapsula即可提供動態資源預留空間...
DDos攻擊 DDos攻擊的本質及攻擊方式
一.利用木桶原理,尋找並利用系統應用的瓶頸 二.阻塞和耗盡 三.當前的問題 使用者的頻寬小於攻擊的規模,造成訪問頻寬成為木桶的短板 不要以為可以防住真正的ddos 好比 藥,一直在 從未見療效 真正海量的ddos可以直接阻塞網際網路 ddos攻擊只針對有意義的目標 如果沒被ddos過,說明確實沒啥值...
ddos攻擊工具 簡單有效的ddos攻擊防禦方法
做過 的站長大多有被ddos攻擊的經歷,不少人面對競爭對手的 就是直接雇人ddos攻擊 導致對方 長期打不開,最後無奈關閉 初堯今天就告訴大家乙個最簡單也是最有效的防禦方法。高防伺服器 高防ip 對於遊戲,網遊來說,是ddos攻擊的主要受害者,所以導致遊戲伺服器都需要購買高防伺服器來對抗流量巨大的d...