攻击防御方法

CC攻击原理及防范方法

一、CC攻击原理:

CC攻击的原理是攻击者控制一些主机不断向对方服务器发送大量数据包，导致服务器资源耗尽直至崩溃。CC主要用于攻击页面。大家都有这样的经历:当一个网页被大量人访问时，网页打开缓慢。CC就是模拟多个用户(有多少用户就有多少线程)不断访问需要大量数据 *** 作(也就是大量CPU时间)的页面，造成服务器资源的浪费。CPU长时间处于100%，总是有无穷无尽的连接，直到网络拥塞，正常访问暂停。

二。CC攻击的类型:
CC攻击有三种，直接攻击、代理攻击和僵尸网络攻击。直接攻击主要针对存在重要缺陷的WEB应用。一般来说，这种情况只在编程有问题的时候才会发生，这种情况比较少见。僵尸网络攻击有点类似于DDOS攻击，从WEB应用层面无法防御。所以代理攻击就是CC攻击者通常 *** 作一批代理服务器，比如说100个代理，然后每个代理同时发出10个请求。这样，如果WEB服务器同时收到1，000个并发请求，它会在发送请求后立即断开与代理的连接。避免代理返回的数据阻塞自己的带宽，这样它就不能发起第二个请求。此时， WEB服务器将对响应这些请求的进程进行排队，数据库服务器也是如此。这样一来，正常的请求就会排在后面处理，就像你去食堂吃饭，一般排队的人不到十个，而今天前面有一千人，那么轮到你的机会就很小了，然后就会出现一个页面。

三。攻击症状
CC攻击具有一定的隐蔽性，那么如何确定服务器正在遭受或者已经遭受CC攻击呢？我们可以通过以下三种方法来确定。

(1)。命令行方法

一般CC攻击的时候，Web服务器的80端口会对外关闭，因为这个端口已经被大量垃圾数据堵塞，正常连接已经暂停。我们可以通过在命令行输入命令netstat-an来检查它。如果看到大量类似如下的相同连接记录，基本可以被CC攻击了:

……
TCP192.168.1.3:80192.168.1.6:2205SYN_RECEIVED4
TCP192.168.1.3:80192.168.1.6:2205SYN_RECEIVED4
TCP192.168.1.3:80一般有很多这样的记录，表示来自不同代理IP的攻击。

(2)。批处理方法
以上方法需要手动输入命令，如果Web服务器的IP连接数太多，会很费力。我们可以建立一个批处理文件，通过这个脚本代码来确定是否存在CC攻击。打开记事本，输入以下代码，保存为cc.bat:
@echooff
time/t>；>log.log
netstat-n-pTCP|find":80">>log.log
Notepadlog.log
exit
上面这个脚本的意思是过滤掉当前所有连接到80端口的连接。当我们觉得服务器异常时，可以双击运行批处理文件，然后在打开的log.log文件中查看所有连接。如果同一个IP有多个连接到服务器，基本可以确定该IP是CC攻击服务器。
(3)。上面两种检查系统日志的方法
都有一个缺点。你只能检查当前的CC攻击，对于确定Web服务器之前是否受到过CC攻击，你无能为力。这时候我们可以通过Web日志来查看，因为Web日志如实记录了所有IP对Web资源的访问。通过检查日志，我们可以了解Web服务器之前是否受到过CC的攻击，并确定攻击者的IP，然后再采取进一步的措施。

Web日志一般在目录C:\windows\system32\logfiles\httperr下，这个目录下使用了一个类似httperr1.log的日志文件，它是Web访问错误的记录。管理员可以根据日志时间属性选择相应的日志打开，分析网页是否受到CC攻击。默认情况下，Web日志中记录的项目不多。我们可以通过IIS对它们进行设置，这样就可以在Web日志中记录更多的项目进行安全分析。 *** 作步骤如下:
开始→管理工具打开InternetInformationServer，展开左边的项目定位到对应的网站，然后右键选择属性打开网站属性窗口，点击网站选项卡下的属性，就可以了，比如发送的字节数、接收的字节数、经过的时间默认不勾选，但是在记录和判断CC攻击时非常有用，可以勾选。此外，如果对安全性要求较高，可以在“常规”选项卡下设置“新日志计划表”，每小时或每天记录一次。选中“使用本地时间命名和创建文件”,以确定未来分析的时间。

四。CC攻击防御策略
确定Web服务器正在或者已经被CC攻击，那么如何有效防范？

(1)。取消附加域名
一般cc攻击都是针对网站的域名。比如我们的网站域名是“www.abc.com”，那么攻击者就会将攻击工具中的目标设置为这个域名，然后实施攻击。
对于这样的攻击，我们的措施是在IIS上解绑这个域名，让CC攻击失去目标。具体 *** 作步骤如下:打开IISManager，定位具体站点，右键属性打开该站点的属性面板，点击IP地址右侧的高级按钮，选择要编辑的域名，删除或更改主机头值为另一个值(域名)。
经过模拟测试，取消addon域后Web服务器的CPU立即恢复正常状态，所有通过IP的访问和连接都正常。但是，缺点也很明显。取消或更改域名将保持其他人的访问不变。另外，对于针对IP的CC攻击无效。即使更改域名的攻击者发现了，他也会攻击新的域名。

(2)。域名欺骗解析
如果发现针对域名的CC攻击，我们可以将被攻击的域名解析到127.0.0.1的地址。我们知道127.0.0.1是本地环回IP，用于网络测试。如果被攻击的域名解析到这个IP，攻击者就可以攻击自己，这样无论他有多少鸡或者代理，都会被打倒，让自己遭殃。
另外，当我们的Web服务器被CC攻击的时候，把被攻击的域名解析到国家权威的政府网站或者网警的网站，让他们的网警来清理。
现在大部分网站都使用类似“新网”这样的服务商提供的动态域名解析服务。你可以登录并设置它。

(3)。更改Web端口
一般情况下，Web服务器通过80端口对外提供服务，所以攻击者攻击时会使用默认的80端口进行攻击。因此，我们可以修改Web端口来防止CC攻击。运行IIS管理器，导航到相应的站点，并打开该站点的“属性”面板。“网站ID”下有一个TCP端口，默认值为80，我们可以将其更改为另一个端口。

(4)。IIS拦截IP
当我们通过命令或查看日志找到CC攻击的源IP时，可以在IIS中设置拦截该IP对网站的访问，从而防止IIS攻击。在相应站点的“属性”面板中，点击“目录安全”选项卡，点击“现在IP地址和域名”下的“编辑”按钮，打开设置对话框。在此窗口中，我们可以设置“授权访问”，即白名单，或“拒绝访问”，即黑名单。例如，我们可以将攻击者的IP添加到“拒绝访问”列表中，从而阻止该IP访问Web。

五.针对CC攻击的商业解决方案

很多网站管理者都是等到网站被攻击、丢失后才寻求解决方案。在未来互联网高速发展的时代，他们一定要意识到安全隐患，不要等到损失大了才想办法补救。太晚了。
然而，当网站遭到攻击时，大多数人想到的是——赶紧找个硬防御。基本上他们犯了一个错误，就是认为网站或者服务器被攻击，购买了硬件防火墙就万事大吉了。其实这种想法是极其错误的。多年的统计数据表明，要彻底了解CC攻击几乎是不可能的，就像治疗感冒一样。我们可以治疗和预防，但无法治愈。但如果采取积极有效的防御方法，就可以大大降低或减缓得病的几率，防范DDOS攻击也是如此。其实理想的解决方案应该是“软件+硬件”的解决方案。这个方案适合资金充足的企业网站；在硬件DDOS防护和软件CC防护上有优势；
相对于ICP内容网站、论坛社区BBS、电商电子商务、音乐网站、电影网站文件等一些网站服务器，越来越受欢迎。但是由于种种原因，他们经常受到竞争对手或报复者的恶意DDOS攻击。持续的攻击会导致大量用户流失，甚至服务器因人气全失而被迫关闭。为了最大程度保护运营商利益，冰盾科技结合多年反DDOS实践经验，给出了安全投入最少，安全回报最大的反DDOS解决方案。