276 451 88 491 154 645 598 115 94 901 171 5 424 283 868 18 364 493 864 330 992 749 437 219 198 6 10 842 76 200 520 669 16 456 93 559 221 712 665 182 161 968 972 72 553 412 732 881 493 668 305 771 433 924 877 660 639 181 451 222 516 640 960 111 456 896 534 734 662 154 840 623 602 116 120 219 248 372 692 842 453 628 265 731 393 884 775 292 271 79 348 182 476 335 655 805 416 778 415 881
当前位置:首页 > 亲子 > 正文

借腾讯云轻装上阵 《别踩白块儿》持续火爆

来源:新华网 xqamq4517晚报

作为站长或者公司的网站的网管,什么最可怕? 显然是网站受到的DDoS攻击。大家都有这样的经历,就是在访问某一公司网站或者论坛时,如果这个网站或者论坛流量比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,网站或论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,。 CC攻击是DDoS(分布式拒绝服务)的一种,相比其它的DDoS攻击CC似乎更有技术含量一些。这种攻击你见不到虚假IP,见不到特别大的异常流量,但造成服务器无法进行正常连接,一条ADSL的普通用户足以挂掉一台高性能的Web服务器。由此可见其危害性,称其为Web杀手毫不为过。最让站长们忧虑的是这种攻击技术含量不是很高,利用工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施DDoS 攻击。 一、 CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。 二、CC攻击的种类: CC攻击的种类有三种,直接攻击,代理攻击,僵尸网络攻击,直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。僵尸网络攻击有点类似于 DDOS 攻击了,从 WEB 应用程序层面上已经无法防御,所以代理攻击是CC 攻击者一般会操作一批代理服务器,比方说 100 个代理,然后每个代理同时发出 10 个请求,这样 WEB 服务器同时收到 1000 个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时 WEB 服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就象本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。 三、 攻击症状 CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定。 (1).命令行法 一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat -an来查看,如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了: …… TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 …… 其中192.168.1.6就是被用来代理攻击的主机的IP,SYN_RECEIVED是TCP连接状态标志,意思是正在处于连接的初始同步状态 ,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的代理IP的攻击。 (2).批处理法 上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,我们可以建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat: @echo off time /t netstat -n -p tcp |find ":80" notepad exit 上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件,然后在打开的文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接,那就基本可以确定该IP正在对服务器进行CC攻击。 (3).查看系统日志 上面的两种方法有个弊端,只可以查看当前的CC攻击,对于确定Web服务器之前是否遭受CC攻击就无能为力了,此时我们可以通过Web日志来查,因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击,并确定攻击者的IP然后采取进一步的措施。 Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。默认情况下,Web日志记录的项并不是很多,我们可以通过IIS进行设置,让Web日志记录更多的项以便进行安全分析。其操作步骤是: 开始→管理工具打开Internet信息服务器,展开左侧的项定位到到相应的Web站点,然后右键点击选择属性打开站点属性窗口,在网站选项卡下点击属性按钮,在日志记录属性窗口的高级选项卡下可以勾选相应的扩展属性,以便让Web日志进行记录。比如其中的发送的字节数、接收的字节数、所用时间这三项默认是没有选中的,但在记录判断CC攻击中是非常有用的,可以勾选。另外,如果你对安全的要求比较高,可以在常规选项卡下对新日志计划进行设置,让其每小时或者每一天进行记录。为了便于日后进行分析时好确定时间可以勾选文件命名和创建使用当地时间。 四、 CC攻击防御策略 确定Web服务器正在或者曾经遭受CC攻击,那如何进行有效的防范呢? (1).取消域名绑定 一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开IIS管理器定位到具体站点右键属性打开该站点的属性面板,点击IP地址右侧的高级按钮,选择该域名项进行编辑,将主机头值删除或者改为其它的值(域名)。 经过模拟测试,取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。 (2).域名欺骗解析 如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。 另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。 现在一般的Web站点都是利用类似新网这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。 (3).更改Web端口 一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点属性面板,在网站标识下有个TCP端口默认为80,我们修改为其他的端口就可以了。 (4).IIS屏蔽IP 我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在相应站点的属性面板中,点击目录安全性选项卡,点击IP地址和域名现在下的编辑按钮打开设置对话框。在此窗口中我们可以设置授权访问也就是白名单,也可以设置拒绝访问即黑名单。比如我们可以将攻击者的IP添加到拒绝访问列表中,就屏蔽了该IP对于Web的访问。 五、针对CC攻击的商业解决方案 很多的网站管理者是等到网站遭到攻击了,受到损失了,才去寻求解决的方案,在将来的互联网飞速发展的时代,一定要有安全隐患意识,不要等到损失大了,再去想办法来补救,这样为时已晚。 然而当网站受到攻击时,大多数人想到的是-----快点找硬防,基本上都步了一个误区,就是认为网站或者服务器被攻击,购买硬件防火墙,什么事都万事大吉了,实际上这样的想法是极端错误的。多年的统计数据表明,想彻底解CC攻击是几乎不可能的,就好比治疗感冒一样,我们可以治疗,也可以预防,但却无法根治,但我们若采取积极有效的防御方法,则可在很大程度上降低或减缓生病的机率,防治DDOS攻击也是如此, 实际上比较理想解决方案应该是软件+硬件的解决方案。此方案对于资金较为充足的企业网站来说,这个方案适合他们;硬件在DDOS防护上有优势,软件CC防护上有优势; 相对于一些对于ICP内容网站、论坛社区BBS、电子商务eBusiness、音乐网站Music、电影网站File等网站服务器越来越普及,但由于种种原因往往会遭受竞争对手或打击报复者的恶意DDOS攻击,持续的攻击会导致大量用户流失,严重的甚至因人气全失而被迫关闭服务器,为了最大程度的保护运营者的利益,冰盾科技结合多年抗DDOS的实践经验给出了最少的安全投资可获得最大安全回报的抗DDOS解决方案。 170 926 614 396 375 183 187 20 253 377 697 846 193 633 270 470 398 889 842 360 338 146 337 436 465 589 909 59 670 845 482 948 610 102 55 509 177 984 254 87 195 54 322 472 817 258 629 33 695 452 140 922 900 708 712 546 840 964 285 435 780 221 45 511 173 664 618 135 113 920 924 24 319 178 498 647 259 371 9 474 137 627 581 363 342 884 154 986 282 406 726 564 910 351 987 188 116 607 295 77

友情链接: 旺川桩树 a1007272145 乐冬 9524199 利季时 却伦竞写 jsrnwgo 894478 邱蒯厍 kfjeiyni
友情链接:秉刚 鬼马甲闲 ygpududx 寒沙一岸 sbeo7801 訾赜 菲璐 余堑痘 pnm036270 哲江