網(wǎng)站服務(wù)器被CC攻擊防御策略
發(fā)布時間:2025-10-20 點擊:10
作為站長或者公司的網(wǎng)站的網(wǎng)管,什么最可怕?顯然是網(wǎng)站受到的ddos攻擊。大家都有這樣的經(jīng)歷,就是在訪問某一公司網(wǎng)站或者論壇時,如果這個網(wǎng)站或者論壇流量比較大,訪問的人比較多,打開頁面的速度會比較慢,對不?!一般來說,訪問的人越多,網(wǎng)站或論壇的頁面越多,數(shù)據(jù)庫就越大,被訪問的頻率也越高,占用的系統(tǒng)資源也就相當(dāng)可觀。
(圖片來源于百度)
cc攻擊是ddos(分布式拒絕服務(wù))的一種,相比其它的ddos攻擊cc似乎更有技術(shù)含量一些。這種攻擊你見不到虛假ip,見不到特別大的異常流量,但造成服務(wù)器無法進(jìn)行正常連接,一條adsl的普通用戶足以掛掉一臺高性能的web服務(wù)器。由此可見其危害性,稱其為"web殺手"毫不為過。最讓站長們憂慮的是這種攻擊技術(shù)含量不是很高,利用工具和一些ip代理,一個初、中級的電腦水平的用戶就能夠?qū)嵤ヾdos攻擊。
那么怎樣保證這些網(wǎng)站服務(wù)器的安全呢?防護(hù)cc攻擊大家有必要了解cc攻擊的原理及如果發(fā)現(xiàn)cc攻擊和對cc攻擊的防范措施。
一、cc攻擊的原理:
cc攻擊的原理就是攻擊者控制某些主機不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機崩潰。cc主要是用來攻擊頁面的,每個人都有這樣的體驗:當(dāng)一個網(wǎng)頁訪問的人數(shù)特別多的時候,打開網(wǎng)頁就慢了,cc就是模擬多個用戶(多少線程就是多少用戶)不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作(就是需要大量cpu時間)的頁面,造成服務(wù)器資源的浪費,cpu長時間處于100%,永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞,正常的訪問被中止。
二、cc攻擊的種類:
cc攻擊的種類有三種,直接攻擊,代理攻擊,僵尸網(wǎng)絡(luò)攻擊。
直接攻擊主要針對有重要缺陷的web應(yīng)用程序,一般說來是程序?qū)懙挠袉栴}的時候才會出現(xiàn)這種情況,比較少見。
僵尸網(wǎng)絡(luò)攻擊有點類似于ddos攻擊了,從web應(yīng)用程序?qū)用嫔弦呀?jīng)無法防御。
代理攻擊:cc攻擊者一般會操作一批代理服務(wù)器,比方說100個代理,然后每個代理同時發(fā)出10個請求,這樣web服務(wù)器同時收到1000個并發(fā)請求的,并且在發(fā)出請求后,立刻斷掉與代理的連接,避免代理返回的數(shù)據(jù)將本身的帶寬堵死,而不能發(fā)動再次請求,這時web服務(wù)器會將響應(yīng)這些請求的進(jìn)程進(jìn)行隊列,數(shù)據(jù)庫服務(wù)器也同樣如此,這樣一來,正常請求將會被排在很后被處理,就象本來你去食堂吃飯時,一般只有不到十個人在排隊,今天前面卻插了一千個人,那么輪到你的機會就很小很小了,這時就出現(xiàn)頁面打開極其緩慢或者白屏。
三、攻擊癥狀
cc攻擊有一定的隱蔽性,那如何確定服務(wù)器正在遭受或者曾經(jīng)遭受cc攻擊呢?我們可以通過以下三個方法來確定。
(1).命令行法
一般遭受cc攻擊時,web服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象,因為這個端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了。我們可以通過在命令行下輸入命令netstat-an來查看,如果看到類似如下有大量顯示雷同的連接記錄基本就可以被cc攻擊了:
……
tcp 192.168.1.3:80 192.168.1.6:2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
……
其中"192.168.1.6"就是被用來代理攻擊的主機的ip,"syn_received"是tcp連接狀態(tài)標(biāo)志,意思是"正在處于連接的初始同步狀態(tài)",表明無法建立握手應(yīng)答處于等待狀態(tài)。這就是攻擊的特征,一般情況下這樣的記錄一般都會有很多條,表示來自不同的代理ip的攻擊。
(2).批處理法
上述方法需要手工輸入命令且如果web服務(wù)器ip連接太多看起來比較費勁,我們可以建立一個批處理文件,通過該腳本代碼確定是否存在cc攻擊。打開記事本鍵入如下代碼保存為cc.bat:
@echooff
time /t >>log.log
netstat -n -p tcp |find ":80">>log.log
notepad log.log
exit
上面的腳本的含義是篩選出當(dāng)前所有的到80端口的連接。當(dāng)我們感覺服務(wù)器異常是就可以雙擊運行該批處理文件,然后在打開的log.log文件中查看所有的連接。如果同一個ip有比較多的到服務(wù)器的連接,那就基本可以確定該ip正在對服務(wù)器進(jìn)行cc攻擊。
(3).查看系統(tǒng)日志
上面的兩種方法有個弊端,只可以查看當(dāng)前的cc攻擊,對于確定web服務(wù)器之前是否遭受cc攻擊就無能為力了,此時我們可以通過web日志來查,因為web日志忠實地記錄了所有ip訪問web資源的情況。通過查看日志我們可以web服務(wù)器之前是否遭受cc攻擊,并確定攻擊者的ip然后采取進(jìn)一步的措施。
web日志一般在c:\windows\system32\logfiles\httperr目錄下,該目錄下用類似httperr1.log的日志文件,這個文件就是記錄web訪問錯誤的記錄。管理員可以依據(jù)日志時間屬性選擇相應(yīng)的日志打開進(jìn)行分析是否web被cc攻擊了。默認(rèn)情況下,web日志記錄的項并不是很多,我們可以通過iis進(jìn)行設(shè)置,讓web日志記錄更多的項以便進(jìn)行安全分析。其操作步驟是:
"開始→管理工具"打開"internet信息服務(wù)器",展開左側(cè)的項定位到到相應(yīng)的web站點,然后右鍵點擊選擇"屬性"打開站點屬性窗口,在"網(wǎng)站"選項卡下點擊"屬性"按鈕,在"日志記錄屬性"窗口的"高級"選項卡下可以勾選相應(yīng)的"擴展屬性",以便讓web日志進(jìn)行記錄。比如其中的"發(fā)送的字節(jié)數(shù)"、"接收的字節(jié)數(shù)"、"所用時間"這三項默認(rèn)是沒有選中的,但在記錄判斷cc攻擊中是非常有用的,可以勾選。另外,如果你對安全的要求比較高,可以在"常規(guī)"選項卡下對"新日志計劃"進(jìn)行設(shè)置,讓其"每小時"或者"每一天"進(jìn)行記錄。為了便于日后進(jìn)行分析時好確定時間可以勾選"文件命名和創(chuàng)建使用當(dāng)?shù)貢r間"。
四、cc攻擊防御策略
確定web服務(wù)器正在或者曾經(jīng)遭受cc攻擊,那如何進(jìn)行有效的防范呢?
(1).取消域名綁定
一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊,比如我們的網(wǎng)站域名是"www.star-net.cn",那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實施攻擊。
對于這樣的攻擊我們的措施是在iis上取消這個域名的綁定,讓cc攻擊失去目標(biāo)。具體操作步驟是:打開"iis管理器"定位到具體站點右鍵"屬性"打開該站點的屬性面板,點擊ip地址右側(cè)的"高級"按鈕,選擇該域名項進(jìn)行編輯,將"主機頭值"刪除或者改為其它的值(域名)。
經(jīng)過模擬測試,取消域名綁定后web服務(wù)器的cpu馬上恢復(fù)正常狀態(tài),通過ip進(jìn)行訪問連接一切正常。但是不足之處也很明顯,取消或者更改域名對于別人的訪問帶來了不變,另外,對于針對ip的cc攻擊它是無效的,就算更換域名攻擊者發(fā)現(xiàn)之后,他也會對新域名實施攻擊。
(2).域名欺騙解析
如果發(fā)現(xiàn)針對域名的cc攻擊,我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環(huán)ip是用來進(jìn)行網(wǎng)絡(luò)測試的,如果把被攻擊的域名解析到這個ip上,就可以實現(xiàn)攻擊者自己攻擊自己的目的,這樣他再多的肉雞或者代理也會宕機,讓其自作自受。
另外,當(dāng)我們的web服務(wù)器遭受cc攻擊時把被攻擊的域名解析到國家有權(quán)威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站,讓其網(wǎng)警來收拾他們。
現(xiàn)在一般的web站點都是利用類似"新網(wǎng)"這樣的服務(wù)商提供的動態(tài)域名解析服務(wù),大家可以登錄進(jìn)去之后進(jìn)行設(shè)置。
(3).更改web端口
托管VPS主機的簡介和重要參數(shù)
混合云化之旅從Linux開始
為什么美國cn2服務(wù)器價格很便宜?
云服務(wù)器工作原理是什么?挑選要了解哪些?
企業(yè)到底有沒有必要做微信小程序?微信小程序有哪些優(yōu)勢?
企業(yè)如何建網(wǎng)站才能在營銷中占據(jù)優(yōu)勢
怎樣快速提高企業(yè)網(wǎng)站的SEO排名
網(wǎng)站標(biāo)題的長短對SEO優(yōu)化有哪些影響?
(圖片來源于百度)
cc攻擊是ddos(分布式拒絕服務(wù))的一種,相比其它的ddos攻擊cc似乎更有技術(shù)含量一些。這種攻擊你見不到虛假ip,見不到特別大的異常流量,但造成服務(wù)器無法進(jìn)行正常連接,一條adsl的普通用戶足以掛掉一臺高性能的web服務(wù)器。由此可見其危害性,稱其為"web殺手"毫不為過。最讓站長們憂慮的是這種攻擊技術(shù)含量不是很高,利用工具和一些ip代理,一個初、中級的電腦水平的用戶就能夠?qū)嵤ヾdos攻擊。
那么怎樣保證這些網(wǎng)站服務(wù)器的安全呢?防護(hù)cc攻擊大家有必要了解cc攻擊的原理及如果發(fā)現(xiàn)cc攻擊和對cc攻擊的防范措施。
一、cc攻擊的原理:
cc攻擊的原理就是攻擊者控制某些主機不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機崩潰。cc主要是用來攻擊頁面的,每個人都有這樣的體驗:當(dāng)一個網(wǎng)頁訪問的人數(shù)特別多的時候,打開網(wǎng)頁就慢了,cc就是模擬多個用戶(多少線程就是多少用戶)不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作(就是需要大量cpu時間)的頁面,造成服務(wù)器資源的浪費,cpu長時間處于100%,永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞,正常的訪問被中止。
二、cc攻擊的種類:
cc攻擊的種類有三種,直接攻擊,代理攻擊,僵尸網(wǎng)絡(luò)攻擊。
直接攻擊主要針對有重要缺陷的web應(yīng)用程序,一般說來是程序?qū)懙挠袉栴}的時候才會出現(xiàn)這種情況,比較少見。
僵尸網(wǎng)絡(luò)攻擊有點類似于ddos攻擊了,從web應(yīng)用程序?qū)用嫔弦呀?jīng)無法防御。
代理攻擊:cc攻擊者一般會操作一批代理服務(wù)器,比方說100個代理,然后每個代理同時發(fā)出10個請求,這樣web服務(wù)器同時收到1000個并發(fā)請求的,并且在發(fā)出請求后,立刻斷掉與代理的連接,避免代理返回的數(shù)據(jù)將本身的帶寬堵死,而不能發(fā)動再次請求,這時web服務(wù)器會將響應(yīng)這些請求的進(jìn)程進(jìn)行隊列,數(shù)據(jù)庫服務(wù)器也同樣如此,這樣一來,正常請求將會被排在很后被處理,就象本來你去食堂吃飯時,一般只有不到十個人在排隊,今天前面卻插了一千個人,那么輪到你的機會就很小很小了,這時就出現(xiàn)頁面打開極其緩慢或者白屏。
三、攻擊癥狀
cc攻擊有一定的隱蔽性,那如何確定服務(wù)器正在遭受或者曾經(jīng)遭受cc攻擊呢?我們可以通過以下三個方法來確定。
(1).命令行法
一般遭受cc攻擊時,web服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象,因為這個端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了。我們可以通過在命令行下輸入命令netstat-an來查看,如果看到類似如下有大量顯示雷同的連接記錄基本就可以被cc攻擊了:
……
tcp 192.168.1.3:80 192.168.1.6:2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
tcp 192.168.1.3:80 192.168.1.6: 2205 syn_received 4
……
其中"192.168.1.6"就是被用來代理攻擊的主機的ip,"syn_received"是tcp連接狀態(tài)標(biāo)志,意思是"正在處于連接的初始同步狀態(tài)",表明無法建立握手應(yīng)答處于等待狀態(tài)。這就是攻擊的特征,一般情況下這樣的記錄一般都會有很多條,表示來自不同的代理ip的攻擊。
(2).批處理法
上述方法需要手工輸入命令且如果web服務(wù)器ip連接太多看起來比較費勁,我們可以建立一個批處理文件,通過該腳本代碼確定是否存在cc攻擊。打開記事本鍵入如下代碼保存為cc.bat:
@echooff
time /t >>log.log
netstat -n -p tcp |find ":80">>log.log
notepad log.log
exit
上面的腳本的含義是篩選出當(dāng)前所有的到80端口的連接。當(dāng)我們感覺服務(wù)器異常是就可以雙擊運行該批處理文件,然后在打開的log.log文件中查看所有的連接。如果同一個ip有比較多的到服務(wù)器的連接,那就基本可以確定該ip正在對服務(wù)器進(jìn)行cc攻擊。
(3).查看系統(tǒng)日志
上面的兩種方法有個弊端,只可以查看當(dāng)前的cc攻擊,對于確定web服務(wù)器之前是否遭受cc攻擊就無能為力了,此時我們可以通過web日志來查,因為web日志忠實地記錄了所有ip訪問web資源的情況。通過查看日志我們可以web服務(wù)器之前是否遭受cc攻擊,并確定攻擊者的ip然后采取進(jìn)一步的措施。
web日志一般在c:\windows\system32\logfiles\httperr目錄下,該目錄下用類似httperr1.log的日志文件,這個文件就是記錄web訪問錯誤的記錄。管理員可以依據(jù)日志時間屬性選擇相應(yīng)的日志打開進(jìn)行分析是否web被cc攻擊了。默認(rèn)情況下,web日志記錄的項并不是很多,我們可以通過iis進(jìn)行設(shè)置,讓web日志記錄更多的項以便進(jìn)行安全分析。其操作步驟是:
"開始→管理工具"打開"internet信息服務(wù)器",展開左側(cè)的項定位到到相應(yīng)的web站點,然后右鍵點擊選擇"屬性"打開站點屬性窗口,在"網(wǎng)站"選項卡下點擊"屬性"按鈕,在"日志記錄屬性"窗口的"高級"選項卡下可以勾選相應(yīng)的"擴展屬性",以便讓web日志進(jìn)行記錄。比如其中的"發(fā)送的字節(jié)數(shù)"、"接收的字節(jié)數(shù)"、"所用時間"這三項默認(rèn)是沒有選中的,但在記錄判斷cc攻擊中是非常有用的,可以勾選。另外,如果你對安全的要求比較高,可以在"常規(guī)"選項卡下對"新日志計劃"進(jìn)行設(shè)置,讓其"每小時"或者"每一天"進(jìn)行記錄。為了便于日后進(jìn)行分析時好確定時間可以勾選"文件命名和創(chuàng)建使用當(dāng)?shù)貢r間"。
四、cc攻擊防御策略
確定web服務(wù)器正在或者曾經(jīng)遭受cc攻擊,那如何進(jìn)行有效的防范呢?
(1).取消域名綁定
一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊,比如我們的網(wǎng)站域名是"www.star-net.cn",那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實施攻擊。
對于這樣的攻擊我們的措施是在iis上取消這個域名的綁定,讓cc攻擊失去目標(biāo)。具體操作步驟是:打開"iis管理器"定位到具體站點右鍵"屬性"打開該站點的屬性面板,點擊ip地址右側(cè)的"高級"按鈕,選擇該域名項進(jìn)行編輯,將"主機頭值"刪除或者改為其它的值(域名)。
經(jīng)過模擬測試,取消域名綁定后web服務(wù)器的cpu馬上恢復(fù)正常狀態(tài),通過ip進(jìn)行訪問連接一切正常。但是不足之處也很明顯,取消或者更改域名對于別人的訪問帶來了不變,另外,對于針對ip的cc攻擊它是無效的,就算更換域名攻擊者發(fā)現(xiàn)之后,他也會對新域名實施攻擊。
(2).域名欺騙解析
如果發(fā)現(xiàn)針對域名的cc攻擊,我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環(huán)ip是用來進(jìn)行網(wǎng)絡(luò)測試的,如果把被攻擊的域名解析到這個ip上,就可以實現(xiàn)攻擊者自己攻擊自己的目的,這樣他再多的肉雞或者代理也會宕機,讓其自作自受。
另外,當(dāng)我們的web服務(wù)器遭受cc攻擊時把被攻擊的域名解析到國家有權(quán)威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站,讓其網(wǎng)警來收拾他們。
現(xiàn)在一般的web站點都是利用類似"新網(wǎng)"這樣的服務(wù)商提供的動態(tài)域名解析服務(wù),大家可以登錄進(jìn)去之后進(jìn)行設(shè)置。
(3).更改web端口
托管VPS主機的簡介和重要參數(shù)
混合云化之旅從Linux開始
為什么美國cn2服務(wù)器價格很便宜?
云服務(wù)器工作原理是什么?挑選要了解哪些?
企業(yè)到底有沒有必要做微信小程序?微信小程序有哪些優(yōu)勢?
企業(yè)如何建網(wǎng)站才能在營銷中占據(jù)優(yōu)勢
怎樣快速提高企業(yè)網(wǎng)站的SEO排名
網(wǎng)站標(biāo)題的長短對SEO優(yōu)化有哪些影響?