网站防止CC攻击的法子
当前位置： >
> 网站防止CC攻击的法子网站防止CC攻击的法子更新：&&&&编辑：迎海&&&&来源：会员投稿&&&&人气：加载中...&&&&字号：|标签：&&&&&&&&
CC（Challenge Collapsar）是DDOS（分布式回绝服务）的一种，也是一种常见的法子，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器耗尽，一直到宕机崩溃。
CC攻击的攻击技巧含量低，利用和一些IP代理，，一个初、中级的水平的用户就能够实施攻击。不过，如果领会了CC攻击的原理，那就不难针对CC攻击实施一些有效的防范措施。
通常CC攻击的法子有几种，一个是通过防火墙，另外一些网络也供给了一些防火墙服务，例如XX卫士和XX宝，还有一种法子是自己写预防，昨天遇到CC攻击，这也让我尝试了一下各种CC攻击法子的有效性。
一开始我想某某卫士来预防攻击，从界面上看，似乎是防止了大量的CC攻击，但网站后发现，流量依旧异常，攻击还是依旧，看起来这个网站卫士的效果并没有达到。
从原理上看，基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被觉得是Connection-Flood。但如果IP的数量足够大，使得单个IP的连接数较少，那么防火墙未必能禁止CC攻击。
不仅如此，我还发现，启用了某某网站卫士之后，反而更容易被CC攻击，因为这个网站卫士并不能过滤掉CC攻击，攻击的IP经过其加速后，更换成为这个网站卫士的IP，在网站服务器端显示的IP都是相同的，导致服务器端无法过滤这些IP。
实际上，不网站卫士类的服务，直接通过分析网站日志，还是很容易分手出哪个IP是CC攻击的，因为CC攻击终究是通历来抓取网页，与普通涉猎者的特征差别还是很大的，例如普通涉猎者造访一个网页，必然会连续抓取网页的HTML文件、CSS文件、JS文件和等一系列相关文件，而CC攻击者仅仅只会抓取一个URL地址的文件，不会抓取其他类型的文件，其User Agent也大部分和普通涉猎者不同，这就可以在服务器上很容易分手出哪些造访者是CC攻击了，既然可以判断出攻击者的IP，那么预防措施就很简单，只需要批量将这些IP屏蔽，即可达到防范CC攻击的目的。
最终，我花了半个小时写了一段小程序，运行之后自动屏蔽了数百个IP，网站才算正常，从而证明，防火墙对于CC攻击的防御并不有效，最有效的法子还是在服务器端通历程序自动屏蔽来预防。
看来CC攻击的门槛还真低啊，搞个几百个代理或者肉鸡就能攻击别人了，其成本非常低，但效果对比明显，如果攻击者流量巨大的话，通过耗损带宽的方式都可以进行攻击。但是，CC攻击也有明显的技巧缺陷，就是攻击者的IP并不是海量的，通常就是几百数千的级别，并且是真实造访了网站页面，这就使得网站可以通历程序过滤的方式，轻松获取到这些攻击者IP，批量进行屏蔽，那么这种CC攻击就会得到预防。
注：本文由站长之家专栏作者月光供稿，如需转载，请注明出处。
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）
分类选择您可能在找这些帮设计师节省1,085,543,232小时CC攻击原理及防范方法
CC攻击原理及防范方法
小耗子爱动
CC攻击主要是用来攻击网站的。想必大家都有这样的经历，就是在访问某个网站时，如果这个网站比较大，访问的人比较多，打开页面的速度会比较慢，对不?! 一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观，现在知道为什么很多空间服务商都说大家不要上传论坛，聊天室等东西了吧。CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。但是！！CC攻击的攻击技术含量低，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施攻击。不过，如果了解了CC攻击的原理，那就不难针对CC攻击实施一些有效的防范措施。CC攻击的种类有三种，直接攻击，代理攻击，僵尸网络攻击，直接攻击主要针对有重要缺陷的 WEB 应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。僵尸网络攻击有点类似于 DDOS 攻击了，从 WEB 应用程序层面上已经无法防御，所以代理攻击是CC 攻击者一般会操作一批代理服务器，比方说 100 个代理，然后每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理CC就是利用了这个特点，模拟多个用户不停的进行“访问”(就是能占用大量CPU的~~比如模拟很多IP多次做查询等)。一般CC都用代理来搞，因为现在每个论坛都有自己的措施，比如单个IP在搜索后有一个冷却期，而且基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接防护方法：其实有很多种，硬软件防火墙，某些防护软件（服务器、网站安全狗之类的），某某安全卫士就别用了，真的没啥大用处，打打补丁还是不错的。取消域名绑定、域名欺骗解析、更改Web端口、IIS屏蔽IP（这是度娘都是有滴，小编就不一一介绍）禁止网站代理访问、尽量将网站做成静态页面，限制连接数量，访问频率控制，来源限制，客户端IE验证等一系 列策略规则 以及组合策略拦截。当然为了更方便（不差钱的大佬）的可以咨询国内做防御的公司，做专门的解决方案，更加省事儿省心。
本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。
小耗子爱动
百家号 最近更新：
简介: 专注互联网安全研究，分享防御知识和技巧
作者最新文章你的服务器如何防CC攻击？
查看:470 | 回复:0
主题帖子积分
尚未落伍(少量栏能回帖), 积分 -20, 距离下一级还需 10 积分
尚未落伍(少量栏能回帖), 积分 -20, 距离下一级还需 10 积分
&&&&&&&&&&&&&&&&&&&&
你的服务器如何防CC攻击？
CC攻击是DDOS(分布式拒绝服务)的一种，相比其它的DDOS攻击CC似乎更有技术含量一些。这
种攻击你见不到虚假IP，见不到特别大的异常流量，但造成服务器无法进行正常连接，听说
一条ADSL足以搞掂一台高性能的Web服务器（美国服务器租用）。由此可见其危害性，称其为
“Web杀手”也毫不为过。
　攻击症状：
　　CC攻击有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通
过以下三个方法来确定。
　 1、命令行法
　　一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象， 因为这个端口已经被大
量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat -an来
查看，如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了：
　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4 ……
　　其中“192.168.1.6”就是被用来代理攻击的主机的IP，“SYN_RECEIVED”是TCP连接状
态标志，意思是“正在处于连接的初始同步状态 ”，表明无法建立握手应答处于等待状态。
这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻
2、批处理法
　　上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立
一个批处理文件，通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为
　　time /t &&log.log
　　netstat -n -p tcp |find &:80&&&Log.log
　　notepad log.log
　　上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可
以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比
较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。
　 3、查看系统日志
　　上面的两种方法有个弊端，只可以查看当前的CC攻击，对于确定Web服务器之前是否遭受
CC攻击就无能为力了，此时我们可以通过Web日志来查，因为Web日志忠实地记录了所有IP访
问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击，并确定攻击者的
IP然后采取进一步的措施。
　　Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下，该目录下用类似
httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间
属性选择相应的日志打开进行分析是否Web被CC攻击了。　
　默认情况下，Web日志记录的项并不是很多，我们可以通过IIS进行设置，让Web日志记录更
多的项以便进行安全分析。其操作步骤是：
“开始→管理工具”打开“Internet信息服务器”，展开左侧的项定位到到相应的Web站点，
然后右键点击选择“属性”打开站点属性窗口，在“网站”选项卡下点击“属性”按钮，在
“日志记录属性”窗口的“高级”选项卡下可以勾选相应的“扩展属性”，以便让Web日志进
行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没
有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比
较高，可以在“常规”选项卡下对“新日志计划”进行设置，让其“每小时”或者“每一天
”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间
　　CC攻击防御策略：
　　确定Web服务器正在或者曾经遭受CC攻击，那如何进行有效的防范呢?笔者依据个人经验
，提供如下防御措施。
　　1、取消域名绑定
　　一般cc攻击都是针对网站的域名进行攻击，对于这样的攻击我们的措施是在IIS上取消这
个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开“IIS管理器”定位到具体站点右
键“属性”打开该站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编
辑，将“主机头值”删除或者改为其它的值(域名)。
笔者实例模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连
接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不变，另外
，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻
2、域名欺骗解析
　　如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我
们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上
，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作
　　另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或
者是网警的网站，让其网警来收拾他们。
现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务，大家可以
登录进去之后进行设置。
3、IPSec封锁
　　IPSec是优秀的系统防火墙，在排除其他还有别的类型的DDOS攻击时，针对CC攻击可以用
设置IP策略来对付攻击。以219.128.*.43这个IP为例子，笔者实际操作对该IP的访问封锁。
　　第一步：“开始→管理工具”，打开“本地安全设置”，右键点击“IP安全策略，在本
地机器”选择“创建IP安全策略”，然后点击“下一步”，输入策略“名称”和“描述”。
然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。　
　　第二步：右键点击“IP安全策略，在本地机器”选择“管理IP筛选器表和筛选器操作”
，在打开的窗口中点“添加”，在“IP 筛选器列表”窗口添人同第一步的名称和描述信息。
取消“使用添加向导”的勾选，然后点击“添加”。在“IP 筛选器 属性”窗口的“地址”
选项下设置“源地址”为“192.168.1.6”，目标地址为“我的IP地址”，取消对“镜像”的
勾选;点击“协议”选项卡，设置“协议类型”为“TCP”，设置“协议端口”为“从任意端
口”到“此端口80”最后确定退出。
　 第三步：在“新规则 属性”窗口中点选刚才创建的“封CC攻击”规则，点击“筛选器操
作”选项卡下的“添加”，点选“安全措施”下的“阻止”，在“常规”选项卡下为该筛选
器命名为“阻止CC攻击”然后确定退出。　
　　第四步：点选刚才创建的“阻止CC攻击”筛选器，一路“确定”退出IP策略编辑器，可
以看到在组策略窗口的中创建成功一个名为“封CC攻击”的策略，然后右键点击该策略选择
“指派”。这样就实现了对该IP的封锁。　　
　　4、更改Web端口
　　一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口
进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应
站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的
端口就可以了。
　　5、IIS屏蔽IP
　　我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站
点的访问，从而达到防范IIS攻击的目的。在相应站点的“属性”面板中，点击“目录安全性
”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们
可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我
们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该IP对于Web的访问。
此外还可以通过第三方防火墙进行防范
有需要服务器租用、托管的服务的朋友请找思海网络；联系以下：
公司网站：
总机电话：（13
论坛事务客服(8:30-17:00)：
&&&&商务广告客服(8:30-21:00,限广告合作)：
落伍者创建于,本站内容均为会员发表,并不代表落伍立场!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
落伍官方微信：2030286 邮箱：(|)
浙ICP备号 BBS专项电子公告通信管[号
　 落伍法律顾问: ITlaw-庄毅雄