CC攻击是DDoS(DistributedDenialofService)的一种,CC似乎比其他DDoS攻击更具技术性。这种攻击你看不到虚假IP或者异常大的流量,但是却让服务器无法正常连接,一个普通的ADSL用户就足以挂掉一个高性能的web服务器。由此可见其危害性,称其为“Web杀手”也不为过。最让站长们苦恼的是,这种攻击技术含量不高。使用工具和一些IP代理,具有初级或中级计算机水平的用户可以进行DDoS攻击。CC攻击的原理CC攻击的原理是攻击者控制某些主机不断地向对方服务器发送大量数据包,导致服务器资源耗尽直至崩溃。CC主要用于攻击网页。每个人都有这样的经历:当一个网页被大量访问时,打开网页会很慢。CC是模拟多个用户(和用户一样多的线程)不断访问需要大量数据操作(也就是大量CPU时间)的页面,造成服务器资源的浪费。CPU长期处于100%,总会有处理不完的连接,直到网络拥塞,停止正常访问。网站被CC攻击的症状1.如果网站是动态网站,如asp/asp.net/php等,在被CC攻击的情况下,IIS站点会报错提示SERVERIS太忙了。如果不使用IIS来提供网站服务,你会发现提供网站服务的程序无缘无故地自动崩溃和出错。如果排除网站程序的问题,出现这种情况,基本可以断定网站被CC攻击了。2、如果网站是静态站点,比如html页面,在被CC攻击的时候,打开任务管理器看一下网络流量,会发现网络应用中的数据传输严重偏高。在大量CC攻击下,甚至会达到99%的网络使用率。当然,被CC攻击时网站不能正常访问,但是通过3389还是可以正常连接服务器的。3.如果被少量CC攻击,网站还是可以断断续续访问的,但是有些图片等比较大的文件不会显示。如果动态网站被少量CC攻击,也会发现服务器CPU占用率飙升。这是最基本的CC攻击症状。CC攻击防御策略决定了Web服务器正在或已经遭受CC攻击,那么如何有效防范呢?(1).取消域名绑定一般CC攻击都是针对网站的域名。比如我们网站的域名是“www.abc.com”,那么攻击者在攻击工具中将攻击对象设置为域名,然后进行攻击。对于这样的攻击,我们的措施是取消将此域名绑定在IIS上,使CC攻击失去目标,具体操作步骤为:打开“IIS管理器”,定位到特定站点,右键“属性”打开该站点的属性面板,点击IP地址右侧的“Advanced”按钮,选择要编辑的域名项,将“HostHeaderValue”中设置的“HostHeaderValue”删除或更改为其他值(域名)。仿真测试后,CPU取消绑定域名后Web服务器的状态立即恢复正常,通过IP访问连接一切正常,但缺点也很明显,取消或更改域名会给其他人访问带来不便。另外,对CCatta无效针对IP的cks。即使更改了域名,攻击者发现后也会攻击新的域名。.(2).域名欺骗分析如果发现针对某个域名的CC攻击,我们可以将被攻击的域名解析到地址127.0.0.1。我们知道127.0.0.1是用于网络测试的本地环回IP。如果被攻击的域名解析到这个IP,攻击者就可以达到自己攻击自己的目的,这样不管有多少bot或者agent他都可以宕机,交给自己的设备。另外,当我们的网站服务器被CC攻击时,将被攻击的域名解析到国家权威的政府网站或网警网站,让网警来处理。现在一般的网站都使用像“新网”这样的服务商提供的动态域名解析服务,您可以登录并进行配置。(3).更改Web端口一般Web服务器通过80端口对外提供服务,因此攻击者使用默认的80端口进行攻击。因此,我们可以通过修改Web端口来防止CC攻击。运行IIS管理器,找到对应的站点,打开站点的“属性”面板,在“网站标识”下有一个TCP端口,默认是80,我们可以修改为其他端口。(4).IIS阻止IP。如果我们通过命令或者查看日志等方式找到了CC攻击的源IP,我们可以在IIS中设置阻止该IP访问该网站,从而防止IIS攻击。在相应站点的“属性”面板中,单击“目录安全”选项卡,单击“立即IP地址和域名”下的“编辑”按钮,打开设置对话框。在这个窗口中,我们可以设置“授权访问”或“白名单”,也可以设置“拒绝访问”或“黑名单”。例如,我们可以将攻击者的IP添加到“拒绝访问”列表中,从而阻止该IP访问Web。
