CC主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,现在知道为什么很多空间服务商都说大家不要上传论坛,聊天室等东西了吧。 一个静态页面不需要服务器多少资源,甚至可以说直接从内存中读出来发给你就可以了,但是论坛就不一样了,我看一个帖子,系统需要到数据库中判断我是否有读读帖子的权限,如果有,就读出帖子里面的内容,显示出来——这里至少访问了2次数据库,如果数据库的体积有200MB大小,系统很可能就要在这200MB大小的数据空间搜索一遍,这需要多少的CPU资源和时间?如果我是查找一个关键字,那么时间更加可观,因为前面的搜索可以限定在一个很小的范围内,比如用户权限只查用户表,帖子内容只查帖子表,而且查到就可以马上停止查询,而搜索肯定会对所有的数据进行一次判断,消耗的时间是相当的大。 CC就是充分利用了这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。很多朋友问到,为什么要使用代理呢?因为代理可以有效地隐藏自己的身份,也可以绕开所有的防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。 使用代理攻击还能很好的保持连接,我们这里发送了数据,代理帮我们转发给对方服务器,我们就可以马上断开,代理还会继续保持着和对方连接(我知道的记录是有人利用2000个代理产生了35万并发连接)。 可能很多朋友还不能很好的理解,我来描述一下吧.我们假设服务器A对Search.asp的处理时间需要0.01S(多线程只是时间分割,对结论没有影响),也就是说他一秒可以保证100个用户的Search请求,服务器允许的最大连接时间为60s,那么我们使用CC模拟120个用户并发连接,那么经过1分钟,服务器的被请求了7200次,处理了6000次,于是剩下了1200个并发连接没有被处理.有的朋友会说:丢连接!丢连接!问题是服务器是按先来后到的顺序丢的,这1200个是在最后10秒的时候发起的,想丢?!还早,经过计算,服务器满负开始丢连接的时候,应该是有7200个并发连接存在队列,然后服务器开始120个/秒的丢连接,我们发动的连接也是120个/秒,服务器永远有处理不完的连接,服务器的CPU 100%并长时间保持,然后丢连接的60秒服务器也判断处理不过来了,新的连接也处理不了,这样服务器达到了超级繁忙状态。 当然,CC也可以利用这里方法对FTP进行攻击,也可以实现TCP-FLOOD,这些都是经过测试有效的。
防范方法
说了攻击原理,大家肯定会问,那么怎么防御?使用硬件防火墙我不知道如何防范,除非你完全屏蔽页面访问,我的方法是通过页面的编写实现防御。 1. 使用Cookie认证.这时候朋友说CC里面也允许Cookie,但是这里的Cookie是所有连接都使用的,所以启用IP+Cookie认证就可以了。 2. 利用Session.这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式,在页面里判断刷新,是刷新就不让它访问,没有刷新符号给它刷新符号.给些示范代码吧,Session:
程序代码
〈% if session(“refresh”)〈〉 1 then Session(“refresh”)=session(“refresh”)+1 Response.redirect “index.asp” End if %〉 这样用户第一次访问会使得Refresh=1,第二次访问,正常,第三次,不让他访问了,认为是刷新,可以加上一个时间参数,让多少时间允许访问,这样就限制了耗时间的页面的访问,对正常客户几乎没有什么影响。 3. 通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP,这招完全可以找到发动攻击的人,当然,不是所有的代理服务器都发送,但是有很多代理都发送这个参数.详细代码:
程序代码2
〈% Dim fsoObject Dim tsObject dim file if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then response.write "无代理访问" response.end end if Set fsoObject = Server.CreateObject("Scripting.FileSystemObject") file = server.mappath("CCLog.txt") if not fsoObject.fileexists(file) then fsoObject.createtextfile file,true,false end if set tsObject = fsoObject.OpenTextFile(file,8) tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR") &"["Request.ServerVariables("REMOTE_ADDR")&"]"&now() Set fsoObject = Nothing Set tsObject = Nothing response.write "有代理访问" %〉 这样会生成CCLog.txt,它的记录格式是:真实IP [代理的IP] 时间,看看哪个真实IP出现的次数多,就知道是谁在攻击了.将这个代码做成Conn.asp文件,替代那些连接数据库的文件,这样所有的数据库请求就连接到这个文件上,然后马上就能发现攻击的人。 4. 还有一个方法就是把需要对数据查询的语句做在Redirect后面,让对方必须先访问一个判断页面,然后Redirect过去。 5. 在存在多站的服务器上,严格限制每一个站允许的IP连接数和CPU使用时间,这是一个很有效的方法。
方法
CC的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有SQL注入,不光是一个入侵工具,更是一个DDOS缺口,大家都应该在代码中注意.举个例子吧,某服务器,开动了5000线的CC攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在Session里面,全是静态页面,没有效果.突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。 代码层的防御需要从点点滴滴做起,一个脚本代码的错误,可能带来的是整个站的影响,甚至是整个服务器的影响,慎之! 僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 CNCERT/CC相关负责人介绍说,这次处理的僵尸网络事件最初源于2004年底一起严重的拒绝服务攻击事件,通过分析和监测,CNCERT/CC发现攻击流量来自庞大的被植入某特定恶意程序的计算机群,该机群的数目达到近10万台,来自河北的某黑客通过境内外多台服务器秘密操纵这些计算机。被操纵控制的计算机中,有6万多台位于我国境内,其中还包括一些政府和其他重要部门的计算机。于是CNCERT/CC迅速通过信息产业部向国家信息化办公室和公安部作了汇报。 政府部门对此事件十分重视,在国家信息化办公室的协调指挥下,CNCERT/CC配合公安部公共信息网络安全监察局迅速开展调查取证工作,摸清了该僵尸网络的具体情况,锁定作案嫌疑人,并最终在河北唐山将黑客许某抓获。 同时,为了避免被操控主机被其他人非法利用或者窃取数据,CNCERT/CC在CERT网站上发布了专门的清除工具,并与各互联网单位和重要信息系统部门合作开展本部门主机的木马查杀工作,有效地捣毁了黑客留下的僵尸网络。
后话
在这次事件处理过程中,网络应急组织和执法部门的成功合作体现出巨大的威力,充分发挥出各自在技术和执法能力上的优势,随着双方合作的进一步加强,我国的网络安全保障和打击网络犯罪工作的能力势必将得到进一步提高。 CC是一种攻击工具(软件),基于DDOS攻击的原理! 首先DoS(Denial of Service) :阻断服务,泛指黑客试图妨碍正常使用者使用网络上的服务。 DDoS(Distributed Denial of Service):分布式阻断服务,是DoS的一种特例,指黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。 再说CC,CC主要是用来攻击页面的。每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停的进行访问那些需要大量数据操作——就是需要大量CPU时间的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接,到了超级繁忙的状态,就把网络给阻断了!正常的访问就无法进行了! 攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。 CC主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,现在知道为什么很多空间服务商都说大家不要上传论坛,聊天室等东西了吧。 一个静态页面不需要服务器多少资源,甚至可以说直接从内存中读出来发给你就可以了,但是论坛就不一样了,我看一个帖子,系统需要到数据库中判断我是否有读读帖子的权限,如果有,就读出帖子里面的内容,显示出来——这里至少访问了2次数据库,如果数据库的体积有200MB大小,系统很可能就要在这200MB大小的数据空间搜索一遍,这需要多少的CPU资源和时间?如果我是查找一个关键字,那么时间更加可观,因为前面的搜索可以限定在一个很小的范围内,比如用户权限只查用户表,帖子内容只查帖子表,而且查到就可以马上停止查询,而搜索肯定会对所有的数据进行一次判断,消耗的时间是相当的大。 CC就是充分利用了这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。很多朋友问到,为什么要使用代理呢?因为代理可以有效地隐藏自己的身份,也可以绕开所有的防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。 使用代理攻击还能很好的保持连接,我们这里发送了数据,代理帮我们转发给对方服务器,我们就可以马上断开,代理还会继续保持着和对方连接(我知道的记录是有人利用2000个代理产生了35万并发连接)。 可能很多朋友还不能很好的理解,我来描述一下吧.我们假设服务器A对Search.asp的处理时间需要0.01S(多线程只是时间分割,对结论没有影响),也就是说他一秒可以保证100个用户的Search请求,服务器允许的最大连接时间为60s,那么我们使用CC模拟120个用户并发连接,那么经过1分钟,服务器的被请求了7200次,处理了6000次,于是剩下了1200个并发连接没有被处理.有的朋友会说:丢连接!丢连接!问题是服务器是按先来后到的顺序丢的,这1200个是在最后10秒的时候发起的,想丢?!还早,经过计算,服务器满负开始丢连接的时候,应该是有7200个并发连接存在队列,然后服务器开始120个/秒的丢连接,我们发动的连接也是120个/秒,服务器永远有处理不完的连接,服务器的CPU 100%并长时间保持,然后丢连接的60秒服务器也判断处理不过来了,新的连接也处理不了,这样服务器达到了超级繁忙状态。 当然,CC也可以利用这里方法对FTP进行攻击,也可以实现TCP-FLOOD,这些都是经过测试有效的。
防范方法
说了攻击原理,大家肯定会问,那么怎么防御?使用硬件防火墙我不知道如何防范,除非你完全屏蔽页面访问,我的方法是通过页面的编写实现防御。 1. 使用Cookie认证.这时候朋友说CC里面也允许Cookie,但是这里的Cookie是所有连接都使用的,所以启用IP+Cookie认证就可以了。 2. 利用Session.这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式,在页面里判断刷新,是刷新就不让它访问,没有刷新符号给它刷新符号.给些示范代码吧,Session: 程序代码: 〈% if session(“refresh”)〈〉 1 then Session(“refresh”)=session(“refresh”)+1 Response.redirect “index.asp” End if %〉 这样用户第一次访问会使得Refresh=1,第二次访问,正常,第三次,不让他访问了,认为是刷新,可以加上一个时间参数,让多少时间允许访问,这样就限制了耗时间的页面的访问,对正常客户几乎没有什么影响。 3. 通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP,这招完全可以找到发动攻击的人,当然,不是所有的代理服务器都发送,但是有很多代理都发送这个参数.详细代码:
僵尸网络
(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 CNCERT/CC相关负责人介绍说,这次处理的僵尸网络事件最初源于2004年底一起严重的拒绝服务攻击事件,通过分析和监测,CNCERT/CC发现攻击流量来自庞大的被植入某特定恶意程序的计算机群,该机群的数目达到近10万台,来自河北的某黑客通过境内外多台服务器秘密操纵这些计算机。被操纵控制的计算机中,有6万多台位于我国境内,其中还包括一些政府和其他重要部门的计算机。于是CNCERT/CC迅速通过信息产业部向国家信息化办公室和公安部作了汇报。
政府部门对此事件十分重视
政府部门对此事件十分重视,在国家信息化办公室的协调指挥下,CNCERT/CC配合公安部公共信息网络安全监察局迅速开展调查取证工作,摸清了该僵尸网络的具体情况,锁定作案嫌疑人,并最终在河北唐山将黑客许某抓获。 同时,为了避免被操控主机被其他人非法利用或者窃取数据,CNCERT/CC在CERT网站上发布了专门的清除工具,并与各互联网单位和重要信息系统部门合作开展本部门主机的木马查杀工作,有效地捣毁了黑客留下的僵尸网络。 在这次事件处理过程中,网络应急组织和执法部门的成功合作体现出巨大的威力,充分发挥出各自在技术和执法能力上的优势,随着双方合作的进一步加强,我国的网络安全保障和打击网络犯罪工作的能力势必将得到进一步提高。
cc是一种攻击工具
(软件),基于DDOS攻击的原理! 首先DoS(Denial of Service) :阻断服务,泛指黑客试图妨碍正常使用者使用网络上的服务。 DDoS(Distributed Denial of Service):分布式阻断服务,是DoS的一种特例,指黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。 再说CC,CC主要是用来攻击页面的。每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停的进行访问那些需要大量数据操作——就是需要大量CPU时间的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接,到了超级繁忙的状态,就把网络给阻断了!正常的访问就无法进行了!有关cc的详细资料它的源码包,中有详细的介绍.在这次的测试中,使用了六台匿名代理服务器,对 202.202.202.202 上的测试环境进行攻击。
使用的代理服务器
207.68.98.5:8080 211.238.165.163:80 211.101.6.3:8080 61.178.185.56:80 61.180.161.248:80 219.149.233.179:8080 ----------------------------------------------------------------- **************** Web attrack ************************** ----------------------------------------------------------------- Thread数设置为400;攻击稳定之后,在202.202.202.202建起的连接有420个 发起攻击 20秒 之后,系统负载上升到15,后稳在12左右 ------- 攻击地址 ------------------------------------------------- http://202.202.202.202/acid_stat_iplink.phphttp://202.202.202.202/acid_stat_uaddr.php?addr_type=1 addr_type=2">http://202.202.202.202/acid_stat_uaddr.php?addr_type=2 <20ICMP">http://202.202.202.202/acid_qry_mai...mit=Last%20ICMP ----------------------------------------------------------------- -------202.202.202.202上 top 的典型结果 ------------------------------ 12748 root 6 0 4676 4672 4320 S 99.9 0.2 1:18 1 httpd 21048 mysql 9 0 25484 24M 1928 S 99.9 1.2 1:03 0 mysqld cax 14 0 2052 2052 828 R 21.4 0.0 0:11 0 top 16370 root 9 0 3020 972 748 D 3.3 0.0 0:01 1 snort 10 root 9 0 0 0 0 SW 0.4 0.0 0:02 1 kjournald 1 root 8 0 504 504 456 S 0.0 0.0 0:04 0 init 2 root 9 0 0 0 0 SW 0.0 0.0 0:00 0 keventd ----------------------------------------------------------------- ------攻击发起者的网络流量(已达到2M电信网络的最大值)----------------- (ppp0+sit0+vmnet1+vmnet8+eth0)* input * output time kbytes packets Merrs kbytes packets Merrs colls 23:18:45 342 1060 0 80 1129 0 0 23:18:46 316 1047 0 82 1149 0 0 23:18:47 337 1038 0 77 1104 0 0 23:18:48 256 937 0 73 1026 0 0 23:18:49 273 893 0 64 948 0 0 23:18:50 247 910 0 73 992 0 0 23:18:51 345 1000 0 68 1062 0 0 ------------------------------------------------------------------ IDS中基本没有记录,除了源IP地址外,从数据报头看不到明显的特征;从9.80上返回的 数据包头部Window字段超过80%的为 0x1920即6432.数据包的数据段内容有:
代码
------- web 攻击时一个完整的连接建立过程,和请求时的数据段--------------------- 211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60213 IpLen:20 DgmLen:48 DF ******S* Seq: 0x487F9CDA Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) => MSS: 1380 NOP NOP SackOK =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/25-23:12:23.151831 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x3E 202.202.202.202:8086 -> 211.101.6.3:31952 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:48 DF ***A**S* Seq: 0xF5DB9C77 Ack: 0x487F9CDB Win: 0x16D0 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/25-23:12:23.185910 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x3C 211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60225 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x487F9CDB Ack: 0xF5DB9C78 Win: 0xFFFF TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/25-23:12:23.187659 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x19E 211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60226 IpLen:20 DgmLen:400 DF ***AP*** Seq: 0x487F9CDB Ack: 0xF5DB9C78 Win: 0xFFFF TcpLen: 20 47 45 54 20 2F 31 37 2F 61 63 69 64 5F 71 72 79 GET ....acid_qry 5F 6D 61 69 6E 2E 70 68 70 3F 6E 65 77 3D 31 26 _main.php?new=1& 6C 61 79 65 72 34 3D 49 43 4D 50 26 63 61 6C 6C layer4=ICMP&call 65 72 3D 6C 61 73 74 5F 69 63 6D 70 26 6E 75 6D er=last_icmp&num 5F 72 65 73 75 6C 74 5F 72 6F 77 73 3D 2D 31 26 _result_rows=-1& 73 75 62 6D 69 74 3D 4C 61 73 74 25 32 30 49 43 submit=Last%20IC 4D 50 20 48 54 54 50 2F 31 2E 30 0D 0A 56 69 61 MP HTTP/1.0..Via 3A 20 31 2E 31 20 50 52 4F 58 59 0D 0A 55 73 65 : 1.1 PROXY..Use <-- 使用代理服务器的特征 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 r-Agent: Mozilla <-- 浏览器类型,用户可定制 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 /4.0 (compatible 3B 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64 ; MSIE 6.0; Wind 6F 77 73 20 35 2E 31 29 0D 0A 48 6F 73 74 3A 20 ows 5.1)..Host: 32 30 32 2E 31 30 38 2E 39 2E 38 30 3A 38 30 38 202.202.202.202.... 36 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A ...Accept: */*.. 52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F 2F Referer: http:// 77 77 77 2E 77 68 69 74 65 68 6F 75 73 65 2E 6E www.whitehouse.n<-- 用户可定制的字段 65 74 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 et..Accept-Langu 61 67 65 3A 20 7A 68 2D 63 6E 0D 0A 41 63 63 65 age: zh-cn..Acce 70 74 2D 45 6E 63 6F 64 69 6E 67 3A 20 67 7A 69 pt-Encoding: gzi 70 2C 20 64 65 66 6C 61 74 65 0D 0A 50 72 61 67 p, deflate..Prag 6D 61 3A 20 6E 6F 2D 63 61 63 68 65 0D 0A 43 6F ma: no-cache..Co 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 nnection: Keep-A 6C 69 76 65 0D 0A 0D 0A live.... -------- End of web -------------------------------------------------- 可以使用 iptables 的 strings 模块来对包含数据段(payload)中包含 PROXY 的请求做限制. -------------------------------------------------------------- *************** 对 smtp(25) ********************************** -------------------------------------------------------------- 在202.202.202.202 上运行smtpsvr, cc.exe 中指定AttrackList为 http://202.202.202.202:25, 开启1000个 Thread. 攻击时,在9.80上看到已建立的连接稳在 1300 个,系统负载没有在 1 左右. ------- 攻击发起者的网络流量 ------------------------------------------ (ppp0+sit0+vmnet1+vmnet8+eth0)* input * output time kbytes packets Merrs kbytes packets Merrs colls 22:23:20 153 921 0 70 1002 0 0 22:23:21 351 1039 0 88 1166 0 0 22:23:22 333 1145 0 91 1494 0 0 22:23:23 207 866 0 58 1000 0 0 22:23:24 209 842 0 64 970 0 0 22:23:25 228 903 0 70 1094 0 0 22:23:26 179 863 0 60 1009 0 0 ---------------------------------------------------------------------- ----- 检查了IDS中的记录,一共有6条相关的记录 ------------------------------ #64411-(1-67861) [snort] (portscan) TCP Decoy Portscan 2005-10-25 22:11:12 219.149.233.179 > 202.202.202.202 Raw IP #64412-(1-67860) [snort] (portscan) TCP Portsweep 2005-10-25 22:11:12 219.149.233.179 > 202.202.202.202 Raw IP #64413-(1-67859) [snort] (portscan) TCP Portsweep 2005-10-25 22:10:21 211.101.6.3 > 202.202.202.202 Raw IP ---------------------------------------------------------------------- 抓包之后从数据包头部看不到明显的特征.
代码2
------- 攻击 smtp 时一个完整的连接建立过程,和请求时的数据段--------------------- =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/26-00:46:33.331445 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x4A 211.238.165.163:46854 -> 202.202.202.202:25 TCP TTL:52 TOS:0x0 ID:7533 IpLen:20 DgmLen:60 DF ******S* Seq: 0xFD17D0C8 Ack: 0x0 Win: 0x16D0 TcpLen: 40 TCP Options (5) => MSS: 1460 SackOK TS: 904613 0 NOP WS: 0 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/26-00:46:33.331456 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x4A 202.202.202.202:25 -> 211.238.165.163:46854 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:60 DF ***A**S* Seq: 0x58577A09 Ack: 0xFD17D0C9 Win: 0x16A0 TcpLen: 40 TCP Options (5) => MSS: 1460 SackOK TS: 3657680 904613 NOP WS: 0 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/26-00:46:33.545696 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x42 211.238.165.163:46854 -> 202.202.202.202:25 TCP TTL:52 TOS:0x0 ID:7534 IpLen:20 DgmLen:52 DF ***A**** Seq: 0xFD17D0C9 Ack: 0x58577A0A Win: 0x16D0 TcpLen: 32 TCP Options (3) => NOP NOP TS: 904633 3657680 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/26-00:46:33.545919 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x80 202.202.202.202:25 -> 211.238.165.163:46854 TCP TTL:64 TOS:0x0 ID:46575 IpLen:20 DgmLen:114 DF ***AP*** Seq: 0x58577A0A Ack: 0xFD17D0C9 Win: 0x16A0 TcpLen: 32 TCP Options (3) => NOP NOP TS: 3657701 904633 32 32 30 20 31 32 36 2E 63 6F 6D 20 43 6F 72 65 220 po 6D 61 69 6C 20 53 4D 54 50 28 41 6E 74 69 20 53 ster SMTP(Anti S 70 61 6D 29 20 53 79 73 74 65 6D 20 28 31 32 36 pam) System (410 63 6F 6D 5B 30 33 30 39 30 31 5D 29 0D 0A com[030901]).. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ ------------ End of smtp -------------------------------------------- 小结: cc使单台主机具有了ddos攻击的可能;攻击者可以在受害主机上隐藏自己,但是可以通过察看proxy的日志来获得用户的真 实IP,但对广大的使用动态IP的用户来说,这样的查找并没有多大的意义.cc的攻击兼有ddos和连接耗尽的特点;当用户使用较多的 代理服务器时,就很难查找了;可以在服务器被攻击时限制单IP的连接数量来阻止.
cc 攻击原理
-------- CC 攻击原理 -- 来自源码包 ------------------------------------ 1. 为什么我使用CC没有什么效果? CC是通过模拟多用户访问来达到拒绝服务的效果的,也就是说如果你模拟的用户数目不能达到服务器的最大用户,就达不到拒绝服 务的效果,比如xfocus只要600用户就能拒绝,某台超级SMTP服务器需要4000+的线程才能拒绝服务。 2. 为什么我的CC一运行就出错? 说实话,这是我的错误,我最早的版本是有一个BUG的,其实就是代码里面的hostnow溢出,所以你换个现在的版本就没有问题了 3. CC的攻击效果取决于什么? 你使用的有效的代理数目,线程数,你选择的攻击的页面,还有服务器的性能。 4. CC为什么要使用代理,直接连接效果不是更好吗?
使用代理的理由
安全
第一是为了安全 第二是很多系统的防火墙都会检测出有人PORT-FLOOD,使用代理就不存在被检测成PORT-FLOOD的问题。 第三是利用了代理的特性,代理有个特性就是接到用户请求以后一定会读取页面,不管用户是否已经断开,这样大大提高了我们的 攻击效率,如果我们直接连接必须保持住连接对方服务器才运行,我们通过代理只要把请求发给代理就可以断开,剩下的是代理的 事情了。所以我们电脑完成的只是连接代理-〉发送请求-〉断开,而不是有些朋友认为的需要等待数据返回,所以程序才能达到如 此的高线程。
服务器
5. 为什么我用1000线不能D下来的服务器,别人500线就可以呢? 这个就是页面选择的问题了,如果选择静态页面,效果可以说很不好,因为服务器读取一个静态页面不需要多少时间就能完成,比 如一个页面服务器的读取时间为0.0002S那么这说明该服务器的该页面理论处理能力为5000个页面,如果读取时间为0.2S那么说 明该服务器该页面的理论处理能力只有5个,显然攻击效果明显不一样。如果我一秒发起500个连接,对于第一个页面,服务器在 0.1S里面就处理完了,我怎么攻击也是没有效果的,对于第二个页面,服务器在一秒内只处理了5个连接,还有495个连接在队列 中,这样服务器就有495个连接被占用了,2秒就是990个,1分钟就有29700个连接在队列,如果服务器允许的并发连接数目小于 这个数字,那么任何人都无法连接到服务器了,服务器这时的CPU资源和内存资源也都满负荷了。
如何选择一个好的页面
6. 如何选择一个好的页面?从第五条我们可以知道,一个能让服务器运行时间越久的页面越是服务器的薄弱点,大家知道木桶理论,木桶能装多少水不决定于 木桶最高的地方有多高,而是木桶最低的地方的高度,那么我们选择一个服务器运行时间最久的页面作为对象,这一般是选择数据 查询次数多、查询量大、查询时间长的页面。
论坛同时在线
7. 很多论坛同时在线都有2000多人,为什么CC模拟500人攻击就不行了? 因为2000多人在线不是同时请求访问服务器的,2000多人很可能在某一秒只有200人在请求服务器页面,有1000多人在看帖子, 还有100多人在点连接,还有一些人只是在线,其实在看其他的网站。
CC还可以攻击SMTP
8. 我听说CC还可以攻击SMTP、FTP等服务器? 是的,通过精心选择参数,CC可以非常有效的攻击FTP服务器,我曾经用Microsoft的FTP服务器ftp.做过试验,效果非常的好,但是CC的目的不是教大家如何攻击,如果这里详细说明这样成为一个傻瓜式的攻击软件了,我相信能看懂源代码的朋友一定明白怎么回事。对于SMTP服务器其实就是PORT-Flood攻击了,也是通过参数的选择来实现的。
防御方法
9. CC有什么好的防御方法吗? 有,对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击, 代理在转发数据的时候会向HTTP服务器提交一个x-forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知 道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿名的,就是说会发送 x-forward-ip的代理。 |
