CC攻击与DDOS攻击

CC攻击与DDOS攻击
DDoS
全称bai：分布式拒绝服务(DDoS:DistributedDenialofService)该攻击⽅式利du⽤⽬标系统⽹络服zhi务功能缺陷或者直接消耗其dao系统资源，使得该⽬标系统⽆法提供正常的服务。

拒绝服务攻击问题⼀直得不到合理的解决，⽬前还是世界性难题，究其原因是因为这是由于⽹络协议本⾝的安全缺陷造成的。

DDoS攻击打的是⽹站的服务器，⽽CC攻击是针对⽹站的页⾯攻击的。

CC
全称：ChallengeCollapsar，中⽂意思是挑战⿊洞，因为以前的抵抗DDoS攻击的安全设备叫⿊洞，顾名思义挑战⿊洞就是说⿊洞拿这种攻击没办法，新⼀代的抗DDoS设备已经改名为ADS(Anti-DDoSSystem)，基本上已经可以完美的抵御CC攻击了。

CC攻击的原理是通过代理服务器或者⼤量⾁鸡模拟多个⽤户访问⽬标⽹站的动态页⾯，制造⼤量的后台数据库查询动作，消耗⽬标CPU资源，造成拒绝服务。

CC不像DDOS可以⽤硬件防⽕墙过滤，CC攻击本⾝就是正常请求。

建议中⼩型⽹站采⽤静态页⾯的⽅式，减少了对数据库的交互，CPU消耗少。

以上分析可以看出，ddos攻击和cc攻击区别主要是针对对象的不同。

DDoS是主要针对IP的攻击，⽽CC攻击的主要是⽹页。

CC攻击相对来说，攻击的危害不是毁灭性的，但是持续时间长；⽽ddos攻击就是流量攻击，这种攻击的危害性较⼤，通过向⽬标服务器发送⼤量数据包，耗尽其带宽，更难防御。

在了解ddos攻击和cc攻击的区别和原理之后，剩下的就是防御了。

要知道⽹站被攻击防不胜防，但是我们平时可以做⼀些防护措施来预防⽹站攻击，或者减少⽹站攻击带来的危害。

如果⽹站规模不⼤，⾃⾝防御能⼒⾮常弱，⼜没有太多的资⾦投⼊，那么选择这样的⾼防御服务器就是最好的选择。

阻断服务，在探讨DDoS 之前我们需要先对 DoS 有所了解，DoS泛指⿊客试图妨碍正常使⽤者使⽤⽹络上的服务，例如剪断⼤楼的电话线路造成⽤户⽆法通话。

⽽以⽹络来说，由于频宽、⽹络设备和服务器主机等处理的能⼒都有其限制，因此当⿊客产⽣过量的⽹络封包使得设备处理不及，即可让正常的使⽤者⽆法正常使⽤该服务。

例如⿊客试图⽤⼤量封包攻击⼀般频宽相对⼩得多的拨接或 ADSL 使⽤者，则受害者就会发现他要连的⽹站连不上或是反应⼗分缓慢。

DoS 攻击并⾮⼊侵主机也不能窃取机器上的资料，但是⼀样会造成攻击⽬标的伤害，如果攻击⽬标是个电⼦商务⽹站就会造成顾客⽆法到该⽹站购物。

分布式阻断服务，DDoS 则是 DoS 的特例，⿊客利⽤多台机器同时攻击来达到妨碍正常使⽤者使⽤服务的⽬的。

⿊客预先⼊侵⼤量主机以后，在被害主机上安装 DDoS 攻击程控被害主机对攻击⽬标展开攻击;有些 DDoS ⼯具采⽤多层次的架构，甚⾄可以⼀次控制⾼达上千台电脑展开攻击，利⽤这样的⽅式可以有效产⽣极⼤的⽹络流量以瘫痪攻击⽬标。

DDoS介绍
DDoS是英⽂Distributed Denial of Service的缩写bai，意即“分布式拒绝服du务”，那么zhi什么⼜是拒绝服务（Denial
of
Service）呢？可以这么理解，凡是能dao导致合法⽤户不能够访问正常⽹络服务的⾏为都算是拒绝服务攻击。

也就是说拒绝服务攻击的⽬的⾮常明确，就是要阻⽌合法⽤户对正常⽹络资源的访问，从⽽达成攻击者不可告⼈的⽬的。

分布式拒绝服务攻击⼀旦被实施，攻击⽹络包就会从很多DOS攻击源(俗称⾁鸡)犹如洪⽔般涌向受害主机，从⽽把合法⽤户的⽹络包淹没，导致合法⽤户⽆法正常访问服务器的⽹络资源，因此，拒绝服务攻击⼜被称之为“洪⽔式攻击”，
常见的DDOS攻击⼿段有
SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

⽬前⽽⾔，⿊客甚⾄对攻击进⾏明码标价，打1G的流量到⼀个⽹站⼀⼩时，只需50块钱。

DDoS的成本如此之低，⽽且攻击了也没⼈管。

关于DDos攻击的常见⽅法
1. SYN Flood：利⽤TCP协议的原理，这种攻击⽅法是经典最有效的DDOS⽅法，可通杀各种系统的⽹络服务，主要是通过向受害主机发送⼤量伪造源IP和源端⼝的SYN或ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包⽽造成拒绝服务。

TCP通道在建⽴以前，需要三次握⼿：
a. 客户端发送⼀个包含SYN标志的TCP报⽂，同步报⽂指明客户端所需要的端⼝号和TCP连接的初始序列号
b. 服务器收到SYN报⽂之后，返回⼀个SYN+ ACK报⽂，表⽰客户端请求被接受，TCP初始序列号加1
c.客户端也返回⼀个确认报⽂ACK给服务器，同样TCP序列号加1
d. 如果服务器端没有收到客户端的确认报⽂ACK，则处于等待状态，将该客户IP加⼊等待队列，然后轮训发送SYN+ACK报⽂
所以攻击者可以通过伪造⼤量的TCP握⼿请求，耗尽服务器端的资源。

2. HTTP Flood：针对系统的每个Web页⾯，或者资源，或者Rest
API，⽤⼤量⾁鸡，发送⼤量http
request。

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调⽤MSSQLServer、MySQLServer、Oracle等数据库的⽹站系统⽽设计的，特征是和服务器建⽴正常的TCP连接，并不断的向脚本程序提交查询、列表等⼤量耗费数据库资源的调⽤，典型的以⼩博⼤的攻击⽅法。

缺点是对付只有静态页⾯的⽹站效果会⼤打折扣。

3. 慢速攻击：Http协议中规定，HttpRequest以\r\n\r\n结尾来表⽰客户端发送结束。

攻击者打开⼀个Http
1.1的连接，将Connection设置为Keep-Alive，保持和服务器的TCP长连接。

然后始终不发送\r\n\r\n，
每隔⼏分钟写⼊⼀些⽆意义的数据流，拖死机器。

4. P2P攻击：每当⽹络上出现⼀个热门事件，⽐如XX门，精⼼制作⼀个种⼦，⾥⾯包含正确的⽂件下载，同时也包括攻击⽬标服务器的IP。

这样，当很多⼈下载的时候，会⽆意中发起对⽬标服务器的TCP连接。

DDOS攻击现象判定⽅法
1.SYN类攻击判断：
A.CPU占⽤很⾼；
B.⽹络连接状态：netstat –na,若观察到⼤量的SYN_RECEIVED的连接状态；
C.⽹线插上后，服务器⽴即凝固⽆法操作，拔出后有时可以恢复，有时候需要重新启动机器才可恢复。

类攻击判断：
A.⽹站出现service unavailable提⽰；
B.CPU占⽤率很⾼；
C.⽹络连接状态：netstat –na,若观察到⼤量的ESTABLISHED的连接状态单个IP⾼达⼏⼗条甚⾄上百条；
D.⽤户⽆法访问⽹站页⾯或打开过程⾮常缓慢,软重启后短期内恢复正常,⼏分钟后⼜⽆法访问。

3.UDP类攻击判断：
A.观察⽹卡状况每秒接受⼤量的数据包；
B.⽹络状态：netstat –na TCP信息正常。

4.TCP洪⽔攻击判断：
A.CPU占⽤很⾼；
stat –na,若观察到⼤量的ESTABLISHED的连接状态单个IP⾼达⼏⼗条甚⾄上百条
DDoS攻击防御⽅法：
1. 过滤不必要的服务和端⼝：可以使⽤Inexpress、Express、Forwarding等⼯具来过滤不必要的服务和端⼝，即在路由器上过滤假IP。

⽐如Cisco公司的CEF(Cisco
Express Forwarding)可以针对封包Source IP和Routing
Table做⽐较，并加以过滤。

只开放服务端⼝成为⽬前很多服务器的流⾏做法，例如WWW服务器那么只开放80⽽将其他所有端⼝关闭或在防⽕墙上做阻⽌策略。

2. 异常流量的清洗过滤：通过DDOS硬件防⽕墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进⼀步将异常流量禁⽌过滤。

单台负载每秒可防御800-927万个syn攻击包。

3. 分布式集群防御：这是⽬前⽹络安全界防御⼤规模DDOS攻击的最有效办法。

分布式集群防御的特点是在每个节点服务器配置多个IP地址（负载均衡），并且每个节点能承受不低于10G的DDOS攻击，如⼀个节点受攻击⽆法提供服务，系统将会根据优先级设置⾃动切换另⼀个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护⾓度去影响企业的安全执⾏决策，百度旗下的百度云加速CDN就是使⽤这种⽅式进⾏防御DDoS攻击。

4. ⾼防智能DNS解析：⾼智能DNS解析系统与DDOS防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。

它颠覆了传统⼀个域名对应⼀个镜像的做法，智能根据⽤户的上⽹路线将DNS解析请求解析到⽤户所属⽹络的服务器。

同时智能DNS解析系统还有宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为企业的⽹络保持⼀个永不宕机的服务状态。

DDoS攻击的⽹络流量清洗
当发⽣DDOS攻击时，⽹络监控系统会侦测到⽹络流量的异常变化并发出报警。

在系统⾃动检测或⼈⼯判断之后，可以识别出被攻击的虚拟机公⽹IP地址。

这时，可调⽤系统的防DDOS攻击功能接⼝，启动对相关被攻击IP的流量清洗。

流量清洗设备会⽴即接管对该IP地址的所有数据包，并将攻击数据包清洗掉，仅将正常的数据包转发给随后的⽹络设备。

这样，就能保证整个⽹络正常的流量通⾏，⽽将DDOS流量拒之门外。

采⽤云DDoS清洗⽅式，可以为企业⽤户带来诸多好处。

其表现在不仅可以提升综合防护能⼒，⽤户能够按需付费，可弹性扩展，⽽且还能够基于⼤数据来分析预测攻击，同时能够免费升级。

对于企业⽤户来说，则可实现零运维、零改造。

CC攻击介绍
CC攻击（Challenge
Collapsar）是DDOS（分布式拒绝服务）的⼀种，前⾝名为Fatboy攻击，也是⼀种常见的⽹站攻击⽅法。

攻击者通过代理服务器或者⾁鸡向向受害主机不停地发⼤量数据包，造成对⽅服务器资源耗尽，⼀直到宕机崩溃。

相⽐其它的DDOS攻击CC似乎更有技术含量⼀些。

这种攻击你见不到真实源IP，见不到特别⼤的异常流量，但造成服务器⽆法进⾏正常连接。

最让站长们忧虑的是这种攻击技术含量低，利⽤更换IP代理⼯具和⼀些IP代理⼀个初、中级的电脑⽔平的⽤户就能够实施攻击。

CC攻击防御⽅法
1. 利⽤Session做访问计数器：利⽤Session针对每个IP做页⾯访问计数器或⽂件下载计数器，防⽌⽤户对某个页⾯频繁刷新导致数据库频繁读取或频繁下载某个⽂件⽽产⽣⼤额流量。

（⽂件下载不要直接使⽤下载地址，才能在服务端代码中做CC攻击的过滤处理）
2. 把⽹站做成静态页⾯：⼤量事实证明，把⽹站尽可能做成静态页⾯，不仅能⼤⼤提⾼抗攻击能⼒，⽽且还给骇客⼊侵带来不少⿇烦，⾄少到现在为⽌关于HTML的溢出还没出现，看看吧！新浪、搜狐、⽹易等门户⽹站主要都是静态页⾯，若你⾮需要动态脚本调⽤，那就把它弄到另外⼀台单独主机去，免的遭受攻击时连累主服务器。

3. 增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统，本⾝就具备⼀定的抵抗DDOS攻击的能⼒，只是默认状态下没有开启⽽已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，⾃⼰去看微软的⽂章吧！《强化
TCP/IP 堆栈安全》。

也许有的⼈会问，那我⽤的是Linux和FreeBSD怎么办？很简单，按照这篇⽂章去做吧！《SYN Cookies》。

4. 在存在多站的服务器上，严格限制每⼀个站允许的IP连接数和CPU使⽤时间，这是⼀个很有效的⽅法。

CC的防御要从代码做起，其实⼀个好的页⾯代码都应该注意这些东西，还有SQL注⼊，不光是⼀个⼊侵⼯具，更是⼀个DDOS缺⼝，⼤家都应该在代码中注意。

举个例⼦吧，某服务器，开动了5000线的CC攻击，没有⼀点反应，因为它所有的访问数据库请求都必须⼀个随机参数在Session⾥⾯，全是静态页⾯，没有效果。

突然发现它有⼀个请求会和外⾯的服务器联系获得，需要较长的时间，⽽且没有什么认证，开800线攻击，服务器马上满负荷了。

代码层的防御需要从点点滴滴做起，⼀个脚本代码的错误，可能带来的是整个站的影响，甚⾄是整个服务器的影响!
5. 服务器前端加CDN中转如果资⾦充裕的话，购买百度云加速、阿⾥云的SCDN、腾讯云SCDN等，⽤于隐藏服务器真实IP，域名解析使⽤CDN的IP，所有解析的⼦域名都使⽤CDN的IP地址。

此外，服务器上部署的其他域名也不能使⽤真实IP解析，全部都使⽤CDN来解析。

另外，防⽌服务器对外传送信息泄漏IP地址，最常见的情况是，服务器不要使⽤发送邮件功能，因为邮件头会泄漏服务器的IP地址。

如果⾮要发送邮件，可以通过第三⽅代理(例如sendcloud)发送，这样对外显⽰的IP是代理的IP地址。

总之，只要服务器的真实IP不泄露，⼀般的攻击并不会对服务器造成太⼤的影响，顶多是打开卡满，这些百度云加速都有对应的防御能⼒。

WAF介绍
WAF（Web Application Firewall）的中⽂名称叫做“Web应⽤防⽕墙”，利⽤国际上公认的⼀种说法，WAF的定义是这样的：Web应⽤防⽕墙是通过执⾏⼀系列针对HTTP/HTTPS的安全策略来专门为Web应⽤提供保护的⼀款产品。

通过从上⾯对WAF的定义中，我们可以很清晰的了解到，WAF是⼀种⼯作在应⽤层的、通过特定的安全策略来专门为Web应⽤提供安全防护的产品。

根据不同的分类⽅法，WAF可分为许多种。

从产品形态上来划分，WAF主要分为以下三⼤类：
1.硬件设备类：⽬前安全市场上，⼤多数的WAF都属于此类。

它们以⼀个独⽴的硬件设备的形态存在，⽀持以多种⽅式（如透明桥接模式、旁路模式、反向代理等）部署到⽹络中为后端的Web应⽤提供安全防护。

相对于软件产品类的WAF，这类产品的优点是性能好、功能全⾯、⽀持多种模式部署等，但它的价格通常⽐较贵。

国内的绿盟、安恒、启明星⾠等⼚商⽣产的WAF都属于此类。

2.软件产品类：这种类型的WAF采⽤纯软件的⽅式实现，特点是安装简单，容易使⽤，成本低。

但它的缺点也是显⽽易见的，因为它必须安装在Web应⽤服务器上，除了性能受到限制外，还可能会存在兼容性、安全等问题。

这类WAF的代表有ModSecurity、Naxsi、⽹站安全狗等。

3.基于云的WAF：随着云计算技术的快速发展，使得其于云的WAF实现成为可能。

国内百度云加速就是这类WAF的典型代表。

它的优点是快速部署、零维护、成本低。

对于中、⼩型的企业和个⼈站长是很有吸引⼒的。