CC攻擊的原理與防御

實(shí)例分析CC攻擊的危害：

例如，當(dāng)訪問(wèn)某個(gè)頁(yè)面時(shí)，該頁(yè)面會(huì)對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行一個(gè)查詢(xún)操作，檢測(cè)所需的數(shù)據(jù)是否存儲(chǔ)在數(shù)據(jù)庫(kù)中。如果存在該數(shù)據(jù)，就將其顯示在頁(yè)面上，否則就會(huì)提示沒(méi)有所需的內(nèi)容。實(shí)際上，在執(zhí)行顯示操作時(shí)也必須對(duì)數(shù)據(jù)庫(kù)進(jìn)行一次訪問(wèn)。顯然，絕大多數(shù)的頁(yè)面訪問(wèn)都會(huì)帶來(lái)一次甚至多次的數(shù)據(jù)庫(kù)訪問(wèn)動(dòng)作。如果數(shù)據(jù)庫(kù)體積龐大，大量的訪問(wèn)操作就會(huì)給服務(wù)器的CPU，內(nèi)存等資源造成極大的耗用。當(dāng)訪問(wèn)量達(dá)到移動(dòng)的量級(jí)時(shí)，網(wǎng)站就會(huì)拒絕相應(yīng)。這是因?yàn)榉?wù)器資源枯竭造成的拒絕服務(wù)故障，說(shuō)明CPU已經(jīng)處理不過(guò)來(lái)了。

例如，很多網(wǎng)站都提供了搜索功能，但是對(duì)用戶(hù)兩次搜索之間的時(shí)間是有限制的，即不允許普通用戶(hù)進(jìn)行不間斷的搜索。因?yàn)閷?duì)于體積較大的數(shù)據(jù)庫(kù)來(lái)說(shuō)，搜索操作會(huì)占用較多的CPU資源。假設(shè)網(wǎng)站的搜索頁(yè)面名稱(chēng)為“Sous.asp”，服務(wù)器對(duì)該頁(yè)面的處理時(shí)間為0.01秒。這樣，在一秒鐘之內(nèi)可以滿足100個(gè)用戶(hù)的搜索需要，服務(wù)器允許的最大連接時(shí)間為60秒，可以處理6000次搜索請(qǐng)求。當(dāng)黑客對(duì)其發(fā)起CC攻擊時(shí)，如果其操作200個(gè)代理服務(wù)器發(fā)起并發(fā)連接，在一分鐘之內(nèi)就可向服務(wù)器12000次。這對(duì)服務(wù)器造成了極大壓力。當(dāng)CPU資源占用率連續(xù)兩分鐘處于100%時(shí)，后續(xù)大量發(fā)送的連接申請(qǐng)就會(huì)進(jìn)行排隊(duì)處理。此時(shí)無(wú)論是按照順序依次處理搜索請(qǐng)求，還是按照順序丟棄連接申請(qǐng)，都會(huì)讓處于超級(jí)忙碌狀態(tài)的CPU無(wú)暇顧及了。這樣，僅僅幾分鐘，該網(wǎng)站就無(wú)法正常訪問(wèn)了。

了解黑客的伎倆

根據(jù)以上分析，黑客實(shí)施CC工具是很容易的，通過(guò)使用專(zhuān)用的CC攻擊程序，利用大量的代理服務(wù)器，對(duì)目標(biāo)頁(yè)面進(jìn)行連續(xù)的訪問(wèn)，導(dǎo)致網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)產(chǎn)生大量的調(diào)用操作，占用大量的CPU處理時(shí)間。

黑客之所以使用CC攻擊，在于代理攻擊可以很好的保持攻擊連續(xù)性，當(dāng)黑客在本機(jī)執(zhí)行攻擊操作后，代理服務(wù)器會(huì)不斷的訪問(wèn)目標(biāo)網(wǎng)站，黑客主機(jī)斷開(kāi)連接后，代理服務(wù)器還會(huì)“忠實(shí)”的執(zhí)行連續(xù)不斷的連接訪問(wèn)動(dòng)作，造成連續(xù)不簡(jiǎn)單的攻擊效果?？梢哉f(shuō)，CC攻擊的方式非常簡(jiǎn)單，但是其危害卻不可忽視。實(shí)際上，黑客利用CC攻擊方式，不僅可以攻擊常規(guī)網(wǎng)站，對(duì)FTP等服務(wù)器同樣可以進(jìn)行有效攻擊。

在服務(wù)器端識(shí)別CC攻擊并不復(fù)雜，如可在“CMD”窗口利用“netstat”命令觀察網(wǎng)絡(luò)連接，或使用Sniffer Pro等工具進(jìn)行嗅探，發(fā)現(xiàn)大量IP不停地連接某個(gè)端口，并不停的再連接再斷開(kāi)。如此的連接請(qǐng)求會(huì)導(dǎo)致網(wǎng)站無(wú)法正常工作。或使用KFW防火墻來(lái)進(jìn)行觀察，在KFW防火墻監(jiān)控窗口左側(cè)的“查詢(xún)視圖”列中點(diǎn)擊“所有連接連接”項(xiàng)，在右側(cè)窗口顯示詳細(xì)的連接信息。點(diǎn)擊“源IP”列，使其按照順序排列，這樣觀察起來(lái)比較直觀。因?yàn)楹诳桶l(fā)起CC攻擊時(shí)，會(huì)控制上百上千的代理服務(wù)器和目標(biāo)服務(wù)器建立連接，來(lái)實(shí)現(xiàn)好近服務(wù)器資源的目的。所以，如果發(fā)現(xiàn)源IP列有大量的連接信息，超過(guò)平時(shí)正常連接的幾倍幾十倍的話，就說(shuō)明本機(jī)受到了CC攻擊。

防御CC攻擊的常用方法

那么如何防御CC攻擊呢？除了管理員針對(duì)網(wǎng)站本身進(jìn)行安全配置外，還可以使用CC攻擊防御專(zhuān)家這款工具，來(lái)抗擊CC攻擊。該工具使用很簡(jiǎn)單，在其主界面的防御設(shè)置欄中拖動(dòng)滑塊，可以調(diào)整防御的級(jí)別，選擇“攔截所有”項(xiàng)，表示拒絕所有從本程序監(jiān)聽(tīng)端口進(jìn)來(lái)的連接，現(xiàn)有的連接也將被斷開(kāi)。選擇“變種CC”項(xiàng)，表示攔截CC變種攻擊，選擇“普通CC”項(xiàng)，表示連接普通CC攻擊，選擇“空連接”項(xiàng)，表示攔截在5秒鐘之內(nèi)未向本程序發(fā)送任何數(shù)據(jù)的連接。選擇“全部允許”項(xiàng)，表示接受所有網(wǎng)絡(luò)連接。點(diǎn)擊“查看”、“選項(xiàng)”項(xiàng)，在設(shè)置窗口中的“常規(guī)”面板中可以設(shè)置網(wǎng)關(guān)地址和端口，服務(wù)器地址和需要保護(hù)的端口。在高級(jí)面板中可以調(diào)整連接限制的數(shù)量以及最大連接數(shù)。如果連接數(shù)超過(guò)預(yù)設(shè)值，可以斷開(kāi)連接或者將其添加到限制列表中。在日志查看面板中可以查看日志信息，在連接和限制面板中可以查看當(dāng)前的網(wǎng)絡(luò)連接以及被限制的連接，可以將選定的網(wǎng)絡(luò)連接發(fā)送到禁用列表中，讓其無(wú)法連接服務(wù)器。

當(dāng)然，可以使用KFW防火墻等更加強(qiáng)悍的安全工具，來(lái)抗擊CC攻擊。例如，某臺(tái)服務(wù)器運(yùn)行了某項(xiàng)網(wǎng)絡(luò)服務(wù)，開(kāi)啟了6000，6001，6001等端口，為了防御針對(duì)該服務(wù)的CC攻擊，打開(kāi)KFW防火墻管理器，在其中依次點(diǎn)擊菜單“設(shè)置”、“防火墻設(shè)置”、“防火墻規(guī)則設(shè)置”項(xiàng)，在防火墻規(guī)則設(shè)置窗口中可以看到，其包括本地接收數(shù)據(jù)和本機(jī)發(fā)送數(shù)據(jù)兩個(gè)視圖。前者用于管控本機(jī)所有接收的數(shù)據(jù)，后者用于管控本機(jī)所有發(fā)送的數(shù)據(jù)。

例如，在本機(jī)接收數(shù)據(jù)視圖中點(diǎn)擊“添加”按鈕，在規(guī)則設(shè)置窗口中輸入其名稱(chēng)和描述信息，在“協(xié)議類(lèi)型”列表中選擇合適的協(xié)議（例如 TCP等），在“發(fā)送端IP類(lèi)型”列表中選擇數(shù)據(jù)包中源IP地址的范圍，例如“任何IP地址”等。在“接收端IP類(lèi)型”列表中選擇數(shù)據(jù)包的目的IP地址。在接收端的“端口類(lèi)型”列表中選擇“等于端口列表”項(xiàng)，在其下添加需要監(jiān)控的多個(gè)端口，例如6000，6001，6001等端口。在“協(xié)議屬性設(shè)置”欄中可以選擇不同的協(xié)議類(lèi)型，包括SYN，ACK，F(xiàn)IN等。在每一個(gè)屬性項(xiàng)下方如果勾選“設(shè)置”項(xiàng)，表示需要對(duì)其進(jìn)行檢查。點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口中的“大量IP刷服務(wù)器防護(hù)”面板中選擇“進(jìn)行大量IP刷服務(wù)器防護(hù)”和“禁止HTTP”項(xiàng)。這樣，防火墻就會(huì)自動(dòng)檢查每個(gè)源IP發(fā)送過(guò)來(lái)的前10個(gè)數(shù)據(jù)包，如果源IP試圖對(duì)預(yù)設(shè)端口進(jìn)行非正常的HTTP連接，防火墻就會(huì)將其IP加入拒絕訪問(wèn)列表，在180秒之內(nèi)禁止其訪問(wèn)。

按照上述方法再創(chuàng)建一條規(guī)則，輸入合適的名稱(chēng)和描述信息，在“接收端”欄中的“端口類(lèi)型”列表中選擇“等于端口”項(xiàng)，輸入需要監(jiān)控的某個(gè)端口，例如6000端口。該端口需要包含在上一條規(guī)則的端口監(jiān)控序列中。點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口中選擇“進(jìn)行大量IP刷服務(wù)器防護(hù)”和“刷SF限制”項(xiàng)，選擇“自動(dòng)防護(hù)限制”項(xiàng)，在其下設(shè)置在20秒內(nèi)允許接收35個(gè)數(shù)據(jù)包，當(dāng)加入到IP禁止訪問(wèn)列表后600秒釋放，剛釋放的IP允許訪問(wèn)服務(wù)器10次等信息。這樣，當(dāng)針對(duì)每個(gè)源IP對(duì)服務(wù)器特定端口發(fā)送的數(shù)據(jù)包進(jìn)行檢測(cè)時(shí)，允許其在20秒內(nèi)發(fā)送35個(gè)數(shù)據(jù)包，如果超過(guò)該限制，防火墻就會(huì)將其添加到拒絕列表。等待600秒后將該IP釋放出來(lái)。其剛剛釋放出來(lái)后，允許其再訪問(wèn)10此，如果超出該限制，繼續(xù)對(duì)其進(jìn)行封閉。

按照上述方法繼續(xù)創(chuàng)建新的規(guī)則，輸入其名稱(chēng)和描述信息。具體設(shè)置方法第一條基本相同，同樣在“接收端”欄中的“端口類(lèi)型”列表中選擇“等于端口列表”，添加需要監(jiān)控的端口序列。點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口中選擇“進(jìn)行大量IP刷服務(wù)器防護(hù)”和“按訪問(wèn)限制”項(xiàng)，在其下設(shè)置在30秒內(nèi)允許訪問(wèn)服務(wù)器25次，將目標(biāo)IP加入到屏蔽列表后300秒后釋放，釋放后運(yùn)行其對(duì)服務(wù)器再訪問(wèn)10次。該規(guī)則的作用是允許每個(gè)IP和服務(wù)器建立35個(gè)連接，如果超過(guò)此限制就將其加入到拒絕訪問(wèn)列表，當(dāng)加入之后經(jīng)過(guò)300秒將其釋放，其剛剛釋放出來(lái)后，允許其再訪問(wèn)10次，如果超出該限制，繼續(xù)對(duì)其進(jìn)行封鎖。

當(dāng)然，可以針對(duì)不同的防護(hù)要求，創(chuàng)建更多的安全規(guī)則，來(lái)實(shí)現(xiàn)防御CC攻擊的目的。