DDoS攻击:
DDoS全称:分布式拒绝服务(DDoS:Distributed Denial of Service)。信息安全的三要素——“保密性”、“完整性”和“可用性”中,拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。拒绝服务攻击问题一直得不到合理的解决,目前还是世界性难题,究其原因是因为这是由于网络协议本身的安全缺陷造成的,(这里不细说,详情自行百度)从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
CC攻击:
CC攻击全称Challenge Collapsar,中文意思是挑战黑洞,因为以前的抵抗DDoS攻击的安全设备叫黑洞,顾名思义挑战黑洞就是说黑洞拿这种攻击没办法,新一代的抗DDoS设备已经改名为ADS(Anti-DDoS System),基本上已经可以完美的抵御CC攻击了。CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。CC不像DDoS可以用硬件防火墙来过滤攻击,CC攻击本身的请求就是正常的请求。我们都知道网站的页面有静态和动态之分,动态网页是需要与后台数据库进行交互的,比如一些论坛用户登录的时候需要去数据库查询你的等级、权限等等,当你留言的时候又需要查询权限、同步数据等等,这就消耗很多CPU资源,造成静态网页能打开,但是需要和数据库交互的动态网页打开慢或者无法打开的现象。这种攻击方式相对于前两种实现要相对复杂一些,但是防御起来要简单的多,提供服务的企业只要尽量少用动态网页并且让一些操作提供验证码就能抵御一般的CC攻击。
CC攻击的三种方式
直接攻击,代理攻击,僵尸网络攻击,直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。僵尸网络攻击有点类似于 DDOS 攻击了,从 WEB 应用程序层面上已经无法防御,所以代理攻击是CC 攻击者一般会操作一批代理服务器,比方说 100 个代理,然后每个代理同时发出 10 个请求,这样 WEB 服务器同时收到 1000 个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时 WEB 服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就象本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。
DDoS和CC的区别
DDoS攻击打的是网站的服务器,而CC攻击是针对网站的页面攻击的,用术语来说就是,一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站肯定也不能正常访问了。而应用层就是我们用户看得到的东西,就比如说网页,CC攻击就是针对网页来攻击的,CC攻击本身是正常请求,网站动态页面的正常请求也会和数据库进行交互的,当这种”正常请求”达到一种程度的时候,服务器就会响应不过来,从而崩溃。
DDoS是针对IP的攻击,而CC攻击的是服务器资源。
DDoS攻击防御
1.在系统各项资源非常宽裕时,向所有ip提供服务,每隔一段时间释放一部分临时黑名单中的ip成员;
2.在系统资源消耗达到某一阈值时,降低Syn包接受速率,循环:分析最近时间的日志,并将访问异常的ip加入临时黑名单;
3.若系统资源消耗慢慢回降至正常水平,则恢复Syn包接受速率,转到状态1;若目前策略并未有效地控制住系统资源消耗的增长,情况继续恶劣至一极限阈值,转到状态4;
4.最终防御方案,使用忠实用户ip白名单、异常访问ip黑名单策略,其他访问可慢慢放入,直到系统资源消耗回降至正常水平,转到状态1。
CC攻击防御
1.取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是“www.abc.com”,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标。
2.域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。
3.更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。
4.屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP,就可以在防火墙中设置屏蔽该IP对Web站点的访问,从而达到防范攻击的目的。
CC与DDoS攻击的技术区别:
我们经常说网站被攻击,其实也就是我们使用的香港服务器被攻击,比较常见的攻击模式有CC跟DDoS,这是两种比较常见的攻击方式。那有的用户可能就问了,什么是CC攻击,什么又是DDoS攻击,这两者攻击原理是什么,两者的区别又是什么?其实清楚它们的攻击原理,也就知道它们的区别了。
下边简单说说这两者的工作原理:
CC攻击:
CC的前世是一个攻击程序,叫做fatboy,这是黑客为了挑战绿盟的一款防DDoS设备开发的,它应该算是一个应用层的DDoS,是发生在TCP3次握手完成之后,它发送的ip其实都是真的。但是应用层的DDoS比网络层的DDoS更厉害,而且现在的大部分商业anti-DDOS设备,在防御网络层的DDoS的效果较好,应对应用层的DDoS攻击目前是还没有有效的手段。其实CC的攻击原理也比较简单,就是对一些那些比较耗费资源应用页面不停的发出请求,从而达到消耗资香港服务器资源的目的,在web应用中,查询数据库,读写硬盘文件的等操作都是比较消耗资源的。
DDoS攻击:
DDoS的攻击原理是:利用网络过载进行干扰或是阻碍正常的网络通讯,然后向香港服务器申请大量的请求,导致香港服务器超负荷运行。从而达到,阻断正常数据请求,也就是阻碍正常访客对香港服务器发出的正常请求。几种比较常见的DDoS攻击有ICMP flood,SYN flood,UDP flood,而SYN flood又是最常见的攻击方式,它是利用TCP协议设计中得缺陷(3次握手)进行的,在它攻击的时候会制造很多的伪ip源地址,然后向香港服务器发送大量的SYN包,之后香港服务器会返回ACK/SYN包,但是IP是伪造的,所以香港服务器是不会受到应答的,会重试3-5次,并且等待一个SYN time(一般是39秒到2分钟),如果超时则丢弃这个连接。
攻击者发送大量的这种伪造源地址的SYN请求,服务端会消耗很多的资源(CPU和内存)来处理这种半连接,同时还要对这些请求进行SYN/ACK重试,最后的结果就是香港服务器无暇理睬正常的连接请求,导致拒绝服务。这就是DDoS的攻击原理。
这两者的主要区别在于:CC攻击模拟用户对一些比较消耗资源的网页进行攻击,而DDoS攻击则是针对ip进行攻击,两者的危害也是不一样的,DDoS的攻击会比CC攻击更难防御,造的危害会更大,如果是一般的香港服务器一旦被攻击,是很容易**的,所以如果你的香港服务器经常被攻击的话,那就需要选择具有防御的高防服务器。