网站防CC攻击方案-威盾IIS防火墙
(威盾防火墙 版权所有 摘录必究)
2014.11.03
一、网站现状
XX教育网(www.**edu.com)是一家大型教育与招生咨询类门户网站,拥有论坛bbs.**edu.com和博客blog.**edu.com等多个子频道,网站基于ASP和MSSQLServer开发,托管在电信机房,拥有10M独享的网络带宽,架设有硬件防火墙防护,网站自成立两年来,Alexa世界排名已近万名,是教育界颇具影响力的门户网站。
二、安全需求
近期,公司的客服部门不断接到用户投诉说每天上午9点到11点之间网站页面打开缓慢设置无法打开,有时即便出来了也因CSS文件没能成功下载而导致网页字体和布局错乱,这恰恰与公司自己访问的情况一致,为此,公司技术部门专门检查了网站程序,没发现异常,查看网络带宽占用也属于正常范围,但是80端口的TCP链接数却有1500多个,比平时多了近三倍,并且MSSQLServer进程占用CPU高达95%,几乎占据了所有的CPU时间,技术员用netstat -na命令查看连接状态,发现每个ip对80端口的连接数在10个左右,也属于正常范围,通过网上查询得知,这是遭受了一种黑客工具CC的攻击,该工具通过代理服务器与被攻击的服务器建立合法的TCP连接,然后模拟合法请求需要查询数据库的的脚本程序发动大量无用的查询指令,导致数据库进程大量占用CPU使得IIS无法获得CPU时间而停止对合法用户的响应,即造成拒绝服务,网站无法访问。由于该黑客工具与Web服务器之间建立的是合法的TCP连接,因此可穿透绝大多数硬件防火墙,而使得硬件防火墙形同虚设。尽管有某些防火墙可通过禁止代理而减缓这种攻击,但同时也使得利用代理服务器访问的某些合法单位用户被拒之门外,并且假如对方使用的是大量匿名代理攻击的话,则这种措施几乎没有什么效果。为此,公司试图寻求一种方案,既能抵御CC攻击又能允许通过代理服务器的合法用户也可访问网站。
三、解决方案
幸运的是该公司的技术人员听说过补天科技开发的威盾防火墙具备一种独特的专有技术,既可防护CC攻击又可让通过代理服务器的用户访问网站,这刚好可以解决该公司的难题。为此该公司的副总和技术人员专门到公司进行了咨询,威盾工程师现场为他们演示了威盾的独有的防CC攻击能力,立即就得到了公司的认可,结合公司的实际需要当场就购买了一套域名专业版,以保护公司的所有子域名网站,安装威盾后,遭受攻击的网站服务器的CPU利用率很快降低到了30%左右,网站访问非常快,并且专门通过代理服务器访问网站非常流畅,威盾完美的解决了该公司网站遇到的CC攻击问题。同时,按照冰盾工程师的建议还开启了威盾的防黑客模块,进一步提升了网站的安全性,降低了安全风险。 |
