如何快速判断服务器是否遭受CC攻击?
CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受CC攻击呢?可以通过以下三个 *** 来确定。
1、命令行法
一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象,因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。可以通过在命令行下输入命令netstat-an来查看,SYN_RECEIVED是TCP连接状态标志,意思是正在处于连接的初始同步状态,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的 *** IP的攻击。
2、批处理法
上述 *** 需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,可以建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。
脚本筛选出当前所有的到80端口的连接。当感觉服务器异常时就可以双击运行该批处理文件,然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接,那就基本可以确定该IP正在对服务器进行CC攻击。
3、查看系统日志
web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。
默认情况下,web日志记录的项并不是很多,可以通过IIs进行设置,让web日志记录更多的项以便进行安全分析。其操作步骤是:开始-管理工具打开Internet信息服务器,展开左侧的项定位到相应的Web站点,然后右键点击选择属性打开站点属性窗口,在网站选项卡下点击属性按钮,在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性,以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的,但在记录判断CC攻击中是非常有用的,可以勾选。另外,如果你对安全的要求比较高,可以在常规选项卡下对新日志计划进行设置,让其每小时或者每一天进行记录。为了方便日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。
CC攻击属于DDOS攻击吗?应该如何防御?
CC攻击(Challenge
Collapsar)是DDOS(分布式拒绝服务)的一种,前身名为Fatboy攻击,也是一种常见的网站攻击 *** 。攻击者通过 *** 服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。
相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接。最让站长们忧虑的是这种攻击技术含量低,利用更换IP *** 工具和一些IP *** 一个初、中级的电脑水平的用户就能够实施攻击。
CC攻击防御 ***
1、利用Session做访问计数器:利用Session针对每个IP做页面访问计数器或文件下载计数器,防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。(文件下载不要直接使用下载地址,才能在服务端代码中做CC攻击的过滤处理)
2、 把网站做成静态页面:大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。
3、 增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化
TCP/IP 堆栈安全》。也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN
Cookies》。
4、 在存在多站的服务器上,严格限制每一个站允许的IP连接数和CPU使用时间,这是一个很有效的 *** 。CC的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有SQL注入,不光是一个入侵工具,更是一个DDOS缺口,大家都应该在代码中注意。举个例子吧,某服务器,开动了5000线的CC攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在Session里面,全是静态页面,没有效果。
突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。代码层的防御需要从点点滴滴做起,一个脚本代码的错误,可能带来的是整个站的影响,甚至是整个服务器的影响!
5.、
服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
另外,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方 *** (例如sendcloud)发送,这样对外显示的IP是 *** 的IP地址。
只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。
DDOS攻击之DNS放大攻击
此DDoS攻击是基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用开放式DNS解析器的功能,以便使用更大量的流量压倒目标 服务器 或 *** ,从而呈现服务器和它周围的基础设施无法进入。
所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。当在许多请求中放大成本差异时,由此产生的流量可能会破坏 *** 基础设施。通过发送导致大量响应的小查询,恶意用户可以从更少的内容获得更多。由具有在每个机器人这个倍数乘以僵尸 *** 进行类似的请求,攻击者是从检测既混淆和收获大大提高了攻击流量的好处。
DNS放大攻击中的一个机器人可以被认为是一个恶意的少年打 *** 给餐馆并说“我将拥有一切,请给我回 *** 并告诉我整个订单。”当餐厅要求时一个回叫号码,给出的号码是目标受害者的 *** 号码。然后,目标接收来自餐馆的 *** ,其中包含许多他们未请求的信息。
由于每个机器人都要求使用欺骗性IP地址打开DNS解析器,该IP地址已更改为目标受害者的真实源IP地址,然后目标会从DNS解析器接收响应。为了创建大量流量,攻击者以尽可能从DNS解析器生成响应的方式构造请求。结果,目标接收到攻击者初始流量的放大,并且他们的 *** 被虚假流量阻塞,导致拒绝服务。
攻击者使用受损端点将带有欺骗性IP地址的UDP数据包发送到DNS recursor。数据包上的欺骗地址指向受害者的真实IP地址。
每个UDP数据包都向DNS解析器发出请求,通常会传递诸如“ANY”之类的参数,以便接收可能的更大响应。
在收到请求后,尝试通过响应提供帮助的DNS解析器会向欺骗的IP地址发送大量响应。
目标的IP地址接收响应,周围的 *** 基础设施因流量泛滥而变得 不堪重负 ,导致拒绝服务。
虽然一些请求不足以取消 *** 基础设施,但当此序列在多个请求和DNS解析器之间成倍增加时,目标接收的数据放大可能很大。探索有关反射攻击的更多技术细节。
对于运营网站或服务的个人或公司,缓解选项是有限的。这是因为个人的服务器虽然可能是目标,但却不会感受到体积攻击的主要影响。由于产生了大量流量,服务器周围的基础设施会产生影响。Internet服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入流量而不会变得不堪重负。因此,ISP可能将所有流量黑洞到目标受害者的IP地址,保护自己并使目标站点脱机。除Cloudflare DDoS保护等非现场保护服务外,缓解策略主要是预防性互联网基础设施解决方案。
DNS放大攻击的一个重要组成部分是访问开放式DNS解析器。通过将配置不当的DNS解析器暴露给Internet,攻击者需要做的就是利用DNS解析器来发现它。理想情况下,DNS解析器应仅向源自受信任域的设备提供其服务。在基于反射的攻击的情况下,开放的DNS解析器将响应来自Internet上任何地方的查询,从而允许利用漏洞。限制DNS解析器以使其仅响应来自可信源的查询使得服务器成为任何类型的放大攻击的不良工具。
由于攻击者僵尸 *** 发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。如果从 *** 内部发送一个数据包,其源地址使其看起来像是在 *** 外部发起的,那么它可能是一个欺骗性数据包,可以被丢弃。Cloudflare强烈建议所有提供商实施入口过滤,有时会联系那些 不知不觉 地参与DDoS攻击并帮助他们实现漏洞的ISP。
0条大神的评论