CC攻擊原理以及如何防御策略

CC 攻擊是一種 DDoS（分布式拒絕服務(wù)），它似乎比其他 DDoS 攻擊更具技術(shù)性。在這種攻擊中，看不到假IP，看不到特別大的異常流量，但會導(dǎo)致服務(wù)器無法正常連接。

?

很多創(chuàng)業(yè)公司辛辛苦苦開發(fā)了自己的app和網(wǎng)站，最后卻被cc攻擊導(dǎo)致業(yè)務(wù)無法進(jìn)行，損失慘重。那么cc攻擊的原理是什么，如何防御cc攻擊呢？我是艾西，今天跟大家簡單的聊一下CC攻擊

?

CC攻擊原理

CC攻擊的原理是攻擊者控制部分主機(jī)不斷向?qū)Ψ椒?wù)器發(fā)送大量數(shù)據(jù)包，導(dǎo)致服務(wù)器資源耗盡直至崩潰。 CC主要用于攻擊頁面，用來消耗服務(wù)器資源的

每個人都有這樣的經(jīng)歷：當(dāng)一個頁面被很多人訪問時，打開頁面會很慢。

CC是模擬多個用戶（線程數(shù)就是用戶數(shù)）不斷訪問那些需要大量數(shù)據(jù)操作（即占用大量CPU時間）的頁面，造成服務(wù)器資源的浪費(fèi)，CPU長時間處于100%，直到網(wǎng)絡(luò)擁塞，導(dǎo)致無法正常訪問。

網(wǎng)站被CC攻擊的癥狀

1、如果網(wǎng)站是動態(tài)網(wǎng)站，比如asp/asp.net/php等，在被CC攻擊的情況下，IIS站點(diǎn)會報錯SERVER IS TOO BUSY 如果不使用IIS來提供網(wǎng)站服務(wù)，你會發(fā)現(xiàn)提供網(wǎng)站服務(wù)的程序會無緣無故地自動崩潰并報錯。如果排除網(wǎng)站程序的問題，出現(xiàn)這種情況，基本可以斷定網(wǎng)站被CC攻擊了。

2、如果網(wǎng)站是靜態(tài)網(wǎng)站，比如html頁面，在被CC攻擊的情況下，打開任務(wù)管理器查看網(wǎng)絡(luò)流量，會發(fā)現(xiàn)數(shù)據(jù)傳輸在網(wǎng)絡(luò)應(yīng)用中嚴(yán)重偏高。在大量的CC攻擊下，甚至?xí)_(dá)到99%的網(wǎng)絡(luò)占用率。當(dāng)然在CC攻擊的情況下網(wǎng)站不能正常訪問，但是通過3389還是可以正常連接服務(wù)器的。

3、如果被少量CC攻擊，網(wǎng)站仍然可以斷斷續(xù)續(xù)訪問，但是一些比較大的文件，比如圖片，可能無法顯示。如果一個動態(tài)網(wǎng)站被少量的CC攻擊，也會發(fā)現(xiàn)服務(wù)器的CPU使用率飆升。這是最基本的CC攻擊癥狀。

?

CC攻擊的危害

CC攻擊的種類有三種，直接攻擊，代理攻擊，僵尸網(wǎng)絡(luò)攻擊

直接攻擊：主要針對有重要缺陷的?WEB?應(yīng)用程序，一般說來是程序?qū)懙挠袉栴}的時候才會出現(xiàn)這種情況比較少見。

僵尸網(wǎng)絡(luò)攻擊有點(diǎn)類似于?DDOS?攻擊了，從?WEB?應(yīng)用程序?qū)用嫔弦呀?jīng)無法防御，所以代理攻擊是CC?攻擊者一般會操作一批代理服務(wù)器，比方說?100?個代理，然后每個代理同時發(fā)出?10?個請求，這樣?WEB?服務(wù)器同時收到?1000?個并發(fā)請求的，并且在發(fā)出請求后，立刻斷掉與代理的連接，避免代理返回的數(shù)據(jù)將本身的帶寬堵死，而不能發(fā)動再次請求，這時?WEB?服務(wù)器會將響應(yīng)這些請求的進(jìn)程進(jìn)行隊(duì)列，數(shù)據(jù)庫服務(wù)器也同樣如此，這樣一來，正常請求將會被排在很后被處理。

?

?

CC攻擊防御策略

確定Web服務(wù)器已經(jīng)或已經(jīng)被CC攻擊了，如何有效防范？

(1).取消域名綁定

一般CC攻擊是針對網(wǎng)站域名的。例如，如果我們的網(wǎng)站域名是“www.xxx.xxx”，那么攻擊者會在攻擊工具中將攻擊目標(biāo)設(shè)置為域名，然后進(jìn)行攻擊。

我們針對這種攻擊的措施是取消該域名在IIS上的綁定，讓CC攻擊失去目標(biāo)。具體步驟是：打開“IIS管理器”，找到具體站點(diǎn)，右鍵“屬性”打開站點(diǎn)的屬性面板，點(diǎn)擊IP地址右側(cè)的“高級”按鈕，選擇域名要編輯的項(xiàng)目，并設(shè)置“Host Header Value” 刪除或更改為另一個值（域名）。

經(jīng)過模擬測試，取消域名綁定后web服務(wù)器CPU立即恢復(fù)正常，通過IP訪問和連接均正常。但缺點(diǎn)也很明顯。取消或更改域名給他人訪問帶來不便。另外，對IP的CC攻擊無效。即使攻擊者發(fā)現(xiàn)域名被更改，他也會攻擊新的域名。 .

?

(2).域名欺騙解析

如果發(fā)現(xiàn)一個域名受到CC攻擊，可以將被攻擊的域名解析為地址127.0.0.1。我們知道 127.0.0.1 是用于網(wǎng)絡(luò)測試的本地環(huán)回 IP。如果被攻擊的域名解析到這個IP，攻擊者就可以按照自己的目的進(jìn)行攻擊，這樣不管他有多少肉雞或代理，它都會宕機(jī)

?

(3).更改網(wǎng)絡(luò)web端口

一般來說，web服務(wù)器通過80端口對外提供服務(wù)，所以攻擊者在攻擊的時候會使用默認(rèn)的80端口進(jìn)行攻擊。因此，我們可以修改web端口來防止CC攻擊。運(yùn)行IIS管理器，找到對應(yīng)站點(diǎn)，打開站點(diǎn)“屬性”面板，“Website ID”下有個TCP端口，默認(rèn)為80，我們可以修改為其他端口。

?

(4).IIS 阻止屏蔽?IP

我們通過命令或者查看日志找到了CC攻擊的源IP，我們可以在IIS中設(shè)置IP來阻止對網(wǎng)站的訪問，從而防止IIS攻擊。在相應(yīng)站點(diǎn)的“屬性”面板中，單擊“目錄安全”選項(xiàng)卡，然后單擊“立即 IP 地址和域”下的“編輯”按鈕以打開設(shè)置對話框。

在這個窗口中，我們可以設(shè)置“授權(quán)訪問”或“白名單”，或“拒絕訪問”或“黑名單”。例如，我們可以將攻擊者的 IP 添加到“拒絕訪問”列表中，從而阻止該 IP 對 Web 的訪問。

?

(5).使用高防IP

高防IP是服務(wù)器遇到大流量CC攻擊時候進(jìn)行流量清洗防火墻策略，用戶可通過配置高防IP，將攻擊引流到高防IP，確保源站的服務(wù)穩(wěn)定。使用高防IP服務(wù)后，Web業(yè)務(wù)把域名解析指向高防IP；非Web業(yè)務(wù)，把業(yè)務(wù)IP替換成高防IP，并配置源站IP，確保源站的服務(wù)穩(wěn)定。

我是艾西，今天關(guān)于CC攻擊的原理以及解決方法就分享到這里啦，有需要高防IP或高防服務(wù)器的小伙伴可以給我留言哦

攜手馳網(wǎng)為您在網(wǎng)絡(luò)道路上保駕護(hù)航

?