相信作為站長,都是希望租用美國服務(wù)器搭建的網(wǎng)站或者論壇,可以提高知名度,然后為網(wǎng)站或者論壇帶來更多的流量,但是有一點(diǎn)需要警惕,就是出現(xiàn)大量訪問的用戶,導(dǎo)致頁面打開的速度非常緩慢,占用了幾乎滿額的系統(tǒng)資源的時(shí)候。為什么說要警惕呢?因?yàn)檫@很有可能是遭受到了CC攻擊。
那么該怎么防御,保障網(wǎng)站的安全呢?說到這個,就有必要了解CC攻擊的原理,和如果發(fā)現(xiàn)CC攻擊的處理,以及CC攻擊的防范措施。
一、CC攻擊的原理:
CC攻擊的原理就是攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機(jī)崩潰。CC主要是用來攻擊頁面的,每個人都有這樣的體驗(yàn):當(dāng)一個網(wǎng)頁訪問的人數(shù)特別多的時(shí)候,打開網(wǎng)頁就慢了,CC就是模擬多個用戶(多少線程就是多少用戶)不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作(就是需要大量CPU時(shí)間)的頁面,造成服務(wù)器資源的浪費(fèi),CPU長時(shí)間處于100%,永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞,正常的訪問被中止。
二、CC攻擊的種類:
CC攻擊的種類有三種,直接攻擊,代理攻擊,僵尸網(wǎng)絡(luò)攻擊。
直接攻擊:主要針對有重要缺陷的WEB應(yīng)用程序,一般說來是程序?qū)懙挠袉栴}的時(shí)候才會出現(xiàn)這種情況,比較少見。
僵尸網(wǎng)絡(luò)攻擊:類似于DDOS攻擊了,從WEB應(yīng)用程序?qū)用嫔弦呀?jīng)無法防御。
代理攻擊:CC攻擊者一般會操作一批代理服務(wù)器,比方說100個代理,然后每個代理同時(shí)發(fā)出10個請求,這樣WEB服務(wù)器同時(shí)收到1000個并發(fā)請求的,并且在發(fā)出請求后,立刻斷掉與代理的連接,避免代理返回的數(shù)據(jù)將本身的帶寬堵死,而不能發(fā)動再次請求,這時(shí)WEB服務(wù)器會將響應(yīng)這些請求的進(jìn)程進(jìn)行隊(duì)列,這樣一來,正常請求將會被排在很后被處理,這時(shí)就出現(xiàn)頁面打開極其緩慢或者白屏。
三、攻擊癥狀
CC攻擊有一定的隱蔽性,通過以下三個方法來確定確定服務(wù)器正在遭受或者曾經(jīng)遭受CC攻擊:
1.命令行法
一般遭受CC攻擊時(shí),Web服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象,因?yàn)檫@個端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了。
2.批處理法
上述方法需要手工輸入命令且如果Web服務(wù)器IP連接太多看起來比較費(fèi)勁,我們可以建立一個批處理文件,通過該腳本代碼確定是否存在CC攻擊。打開記事本鍵入如下代碼保存為CC.bat:
@echooff
time /t >>log.log
netstat -n -p tcp |find ":80">>Log.log
notepad log.log
exit
上面的腳本的含義是篩選出當(dāng)前所有的到80端口的連接。當(dāng)我們感覺服務(wù)器異常是就可以雙擊運(yùn)行該批處理文件,然后在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的到服務(wù)器的連接,那就基本可以確定該IP正在對服務(wù)器進(jìn)行CC攻擊。
3.查看系統(tǒng)日志
上面的兩種方法有個弊端,只可以查看當(dāng)前的CC攻擊,對于確定Web服務(wù)器之前是否遭受CC攻擊就無能為力了,此時(shí)我們可以通過Web日志來查,因?yàn)?span lang="EN-US">Web日志忠實(shí)地記錄了所有IP訪問Web資源的情況。通過查看日志我們可以Web服務(wù)器之前是否遭受CC攻擊,并確定攻擊者的IP然后采取進(jìn)一步的措施。
四、CC攻擊防御策略
確定Web服務(wù)器正在或者曾經(jīng)遭受CC攻擊,需要進(jìn)行以下操作進(jìn)行防御:
1.取消域名綁定
2.域名欺騙解析
3.更改Web端口
