如何做服务器安全策略?怎么才能有效的防DDOS流量和CC攻击?
从理论上来说:DDOS和CC攻击如果中了,都不能用软件或设置来阻止,如果你发现中招了,最好的办法就是断网。防火墙也只能起辅助作用,即发现有异常连接之后提醒ADMIN有可能有攻击或入侵。服务器安全策略是防止入侵,而不是DDOS或CC攻击,请注意区别。另外,如果LZ真的想做网站,建议LZ使用LINUX系统,比如Windows server的IIS文件名解析漏洞让多少ADMIN欲语泪先流啊。
cc攻击是什么?能防御吗?
CC主要是用来攻击页面的。就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,现在知道为什么很多空间服务商都说大家不要上传论坛,聊天室等东西了吧。
一个静态页面不需要服务器多少资源,甚至可以说直接从内存中读出来发给你就可以了,但是论坛就不一样了,我看一个帖子,系统需要到数据库中判断我是否有读读帖子的权限,如果有,就读出帖子里面的内容,显示出来——这里至少访问了2次数据库,如果数据库的体积有200MB大小,系统很可能就要在这200MB大小的数据空间搜索一遍,这需要多少的CPU资源和时间?如果我是查找一个关键字,那么时间更加可观,因为前面的搜索可以限定在一个很小的范围内,比如用户权限只查用户表,帖子内容只查帖子表,而且查到就可以马上停止查询,而搜索肯定会对所有的数据进行一次判断,消耗的时间是相当的大。
CC就是充分利用了这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。很多朋友问到,为什么要使用代理呢?因为代理可以有效地隐藏自己的身份,也可以绕开所有的防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。
使用代理攻击还能很好的保持连接,我们这里发送了数据,代理帮我们转发给对方服务器,我们就可以马上断开,代理还会继续保持着和对方连接(我知道的记录是有人利用2000个代理产生了35万并发连接)。
可能很多朋友还不能很好的理解,我来描述一下吧。我们假设服务器A对Search.asp的处理时间需要0.01S(多线程只是时间分割,对结论没有影响),也就是说他一秒可以保证100个用户的Search请求,服务器允许的最大连接时间为60s,那么我们使用CC模拟120个用户并发连接,那么经过1分钟,服务器的被请求了7200次,处理了6000次,于是剩下了1200个并发连接没有被处理。有的朋友会说:丢连接!丢连接!问题是服务器是按先来后到的顺序丢的,这1200个是在最后10秒的时候发起的,想丢?!还早,经过计算,服务器满负开始丢连接的时候,应该是有7200个并发连接存在队列,然后服务器开始120个/秒的丢连接,我们发动的连接也是120个/秒,服务器永远有处理不完的连接,服务器的CPU 100%并长时间保持,然后丢连接的60秒服务器也判断处理不过来了,新的连接也处理不了,这样服务器达到了超级繁忙状态。
蝴蝶:我们假设服务器处理Search只用了0.01S,也就是10毫秒(这个速度你可以去各个有开放时间显示的论坛看看),我们使用的线程也只有120,很多服务器的丢连接时间远比60S长,我们的使用线程远比120多,可以想象可怕了吧,而且客户机只要发送了断开,连接的保持是代理做的,而且当服务器收到SQL请求,肯定会进入队列,不论连接是否已经断开,而且服务器是并发的,不是顺序执行,这样使得更多的请求进入内存请求,对服务器负担更大。
当然,CC也可以利用这里方法对FTP进行攻击,也可以实现TCP-FLOOD,这些都是经过测试有效的。
防范方法
说了攻击原理,大家肯定会问,那么怎么防御?使用硬件防火墙我不知道如何防范,除非你完全屏蔽页面访问,我的方法是通过页面的编写实现防御。
1. 使用Cookie认证。这时候朋友说CC里面也允许Cookie,但是这里的Cookie是所有连接都使用的,所以启用IP+Cookie认证就可以了。
2. 利用Session。这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式,在页面里判断刷新,是刷新就不让它访问,没有刷新符号给它刷新符号。给些示范代码吧,Session:
%if session(“refresh”) 1 then
Session(“refresh”)=session(“refresh”)+1
Response.redirect “index.asp”
End if
%
这样用户第一次访问会使得Refresh=1,第二次访问,正常,第三次,不让他访问了,认为是刷新,可以加上一个时间参数,让多少时间允许访问,这样就限制了耗时间的页面的访问,对正常客户几乎没有什么影响。
3. 通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP,这招完全可以找到发动攻击的人,当然,不是所有的代理服务器都发送,但是有很多代理都发送这个参数。详细代码:
%
Dim fsoOb
cc攻击和ddos攻击有什么区别
攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS,和伪装就叫:cc。
CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观。
ddos攻击:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
来自百度!!!
服务器抗攻击 可以采用些安全软件来做辅助,比如说可以试下安全狗进行防御。
网站被CC攻击一般用什么防护好
网站分HTTP和HTTPS。HTTP是传统传输协议,普通网站,没有被加密,容易被篡改。HTTPS是通过SSL输入证书对网站进行加密,让网站无法进行篡改,安全性比较高。如果被攻击了,可以用CNAME替换网站的接入,域名解析防护系统,就可以达到防护作用。或者可以使用杭州超级盾类似盾的这类软防,让防护盾来抗攻击,好的防护盾基本上是打不死,你可以搜索关于防御DDOS,防御CC攻击的一些软防工具。
DDOS如何防御?
对于DDOS攻击的详细分解
⒈TCP的工作原理
对于TCP的工作原理,最著名莫过于TCP的三次握手。图示,客户端A发送连接的请求数据报文,标识为SYN,并设定一个初始值得Seq=X,若服务器B答应连接,则返回相应数据报文确认为Ack=X+1,并同时发送逆向连接请求Y。A答应逆向连接返回确认Ack=y+1。
发送SYN,Seq=X
发送SYN,Seq=Y
ACK,Ack=X+1
发送ACK,Ack=Y+1
连接成功!
⒉SYN_FLOOD及ACK_FLOOD攻击
DDoS,也就是分布式拒绝服务攻击的缩写(Distributed denial of service )。
简单的说,拒绝服务就是用超出被攻击目标处理能力x的海量数据包消耗可用系统,带宽资源, 致使目标网络服务瘫痪的一种攻击手段。而分布拒绝服务攻击,就是发起攻击的源地址是分布的,而不是单一的或有规律的。
发送SYN
发送SYN
和ACK对方SYN
不发送ACK包对A确认
并继续发送SYN
不断循环
攻击成功!
简要分析:主机A在短时间内大量的发送该SYN请求连接包,服务器B会大量开辟空间以准备一个又一个的新连接,而A却不发送与服务器B第三次握手的确认数据包。导致B空间无法释放,最终B因为空间耗尽而无法响应其他合法主机的正常连接而导致“拒绝服务”。
在这个过程中,A还可以将发送给B的SYN请求连接包的源地址不断的更改,导致攻击难以追查,并且A还可以控制很多其他的“肉机”D,C等等同时发动攻击,加大攻击力度和攻击效果。
⒊CC攻击
对于大多数的WEB服务器和游戏服务器而言,CC攻击恐怕是最具危险性的了。他的具体工作过程如下图:
同时发送页面请求 对C发送页
面请求
攻击成功 !
简要分析:在CC攻击中,对于A而言,获取大量的代理服务器并非难事,发送页面请求后,会有很多代理服务器同时对C请求页面,由于所申请的页面开销较大,很容易导致C的流量超载和资源耗尽,最终走向“拒绝服务”的道路。而该攻击中,代理服务器其实是合法的,很多服务器都需要和他有相关的服务,所以很难屏蔽由他带来的“骚扰”,同时也导致了这种攻击的难以防范。
⒋UDP,ICMP和DRDOS攻击及其变种
控制肉机 发送请求
或连接
攻击成功!
简要分析:很多时候我们会听到有人说PING死某某。其实是用了ICMP的工作原理。他有如下功能:
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答
左边的数字表示ICMP的类型值,后面是对该类型的简要理解,PING死某某,其实是发送了8号响应请求报文,在没有关闭0号响应应答的服务器会返回一个0号响应应答报文。这样一来,如果带宽或资源处理能力B+D+…C的话,那么C就无法响应正常其他主机的请求而“拒绝服务”。这是最典型的一种ICMP_FLOOD而已。
如果从这种”比带宽,比资源”的角度来说,那么UDP_FLOOD和DRDOS_FLOOD就算是ICMP_FLOOD的一个变种了吧。所不同的是UDP是利用端口的应答回复。
然而更有趣的是DRDOS_FLOOD攻击,因为以上那些都是通过控制肉机来攻击C的话,DRDOS_FLOOD则是通过“欺骗”很多机器(可以不是肉机)去攻击C,这就好像一个“骗子”A告诉大家说C很有钱,然后大家都一起去C那“打劫”,攻击他。这看上去很玄乎,其实很简单,A发送大量的数据包(比如SYN请求包)给很多机器B,D,…,并伪造源地址为C,当B,D等机器收到报文后误以为是C发来的信息,就都不约而同的给C返回信息。这样就很容易达到“拒绝服务”的效果了!正因为A对各种肉机或机器发送的报文不一样,产生的攻击手段也可以不一样,但是最终效果都是“拒绝服务”,所以就有了很多DDOS攻击的变种。这里就不一一介绍了。
详情点击或QQ514403684
cc攻击是什么?怎么防御网站被cc?
确定Web服务器正在或者曾经遭受CC攻击,那如何进行有效的防范呢?壹基比小喻依据个人经验,提供如下防御措施。
(1).取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,比如网站域名是,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。
对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开“IIS管理器”定位到具体站点右键“属性”打开该站点的属性面板,点击IP地址右侧的“高级”按钮,选择该域名项进行编辑,将“主机头值”删除或者改为其它的值(域名)。
笔者实例模拟测试,取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。
(2).域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到这个地址上。我们知道是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。
另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。
现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。
(3).更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。
(4).IIS屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在相应站点的“属性”面板中,点击“目录安全性”选项卡,点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”,也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中,就屏蔽了该IP对于Web的访问。
(5).IPSec封锁
IPSec是优秀的系统防火墙,在排除其他还有别的类型的DDOS攻击时,针对CC攻击可以用设置IP策略来对付攻击。以这个IP为例子,笔者实际操作对该IP的访问封锁。
第一步:“开始→管理工具”,打开“本地安全设置”,右键点击“IP安全策略,在本地机器”选择“创建IP安全策略”,然后点击“下一步”,输入策略“名称”和“描述”。然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。
第二步:右键点击“IP安全策略,在本地机器”选择“管理IP筛选器表和筛选器操作”,在打开的窗口中点“添加”,在“IP 筛选器列表”窗口添人同第一步的名称和描述信息。取消“使用添加向导”的勾选,然后点击“添加”。在“IP 筛选器 属性”窗口的“地址”选项下设置“源地址”为“192.168.1.6”,目标地址为“我的IP地址”,取消对“镜像”的勾选;点击“协议”选项卡,设置“协议类型”为“TCP”,设置“协议端口”为“从任意端口”到“此端口80”最后确定退出。
第三步:在“新规则 属性”窗口中点选刚才创建的“封CC攻击”规则,点击“筛选器操作”选项卡下的“添加”,点选“安全措施”下的“阻止”,在“常规”选项卡下为该筛选器命名为“阻止CC攻击”然后确定退出。
第四步:点选刚才创建的“阻止CC攻击”筛选器,一路“确定”退出IP策略编辑器,可以看到在组策略窗口的中创建成功一个名为“封CC攻击”的策略,然后右键点击该策略选择“指派”。这样就实现了对该IP的封锁。
0条大神的评论