对于CC攻击我想大家并不陌生,而且也都不厌其烦,
那么CC的攻击原理是什么?有没有可能防止呢?
CC攻击的基本原理 CC攻击利用代理服务
器*向网站发送大量需要较长计算时间的URL请求,如数据
库查询等,导致服务器进行大量计算而很快达到自身的处
理能力而形成DOS。而攻击者一旦发送请求给代理后就主
动断开连接,因为代理并不因为客户端这边连接的断开就
不去连接目标服务器。因此攻击机的资源消耗相对很小,
而从目标服务器看来,来自代理的请求都是合法的。
以前防CC攻击的方法
为防范CC,以前的方法一个是限制每个IP的连接数,
这在地址范围很广阔的情况下比较难实现;二是限制代理
的访问,因为一般的代理都会在HTTP头中带
X_FORWARDED_FOR字段,但也有局限,有的代理的请求中
是不带该字段的,另外有的客户端确实需要代理才能连接
目标服务器,这种限制就会拒绝一些正常用户访问。
CC攻击用硬防难防住
CC攻击比DDOS攻击更可怕的就是,CC攻击一般是硬防
很难防止住的。
个人分析原因有三:
一、因为CC攻击来的IP都是真实的,分散的;
二、CC攻击的数据包都是正常的数据包;
三、CC攻击的请求,全都是有效的请求,无法拒绝的
请求。
防CC攻击思路
防CC有效性在于攻击方不接受服务器回应的数据,发
送完请求后就主动断开连接,因此要确认连接是否是CC,
服务器端不立即执行URL请求命令,而是简单的返回一个
页面转向的回应,回应中包含新的URL请求地址。如果是
正常访问,客户端会主动再次连接到转向页面,对用户来
说是透明的;而对于CC攻击者,由于不接收回应数据,因
此就不会重新连接,服务器也就不需要继续进行操作。
具体实现
具体实现的关键在于转向的URL如何构造,‘反代web
’设计的方法是增加一个“值”,即在原URL请求的最后
面添加一个独一无二的值,文本形式,作为URL的一部分;
当包含该值的URL重新返回时,先检查该值是否合法。如
果合法,则说明该URL是合法的再次连接,将URL中的值部
分抹去,恢复为原始的URL请求再发给服务器进行正常访
问;否则拒绝该URL请求。
“值”可以千变万化的设置,非常灵活。用户可以根
据需要进行设定。
作转向所采用的方式也非常灵活。同时,转向可设为
自动转向或手动转向。
总结
防火墙防CC的办法就是封ip,有可能封掉正常访问用
户的ip。
CC是http协议的攻击,不是tcp/ip,‘反代web’是
底层的web服务器,更理解http。
‘反代web’防CC 攻击可以做到非常有效防御,而且
是零误防,不会影响正常用户的访问。
‘反代web’防CC攻击在web管理界面轻松点击鼠设置
规则即可,无需繁索的编写代码。
因为CC并不是固定的一种形态模式,所以没有人敢说
一定能防住CC攻击,希望大家多多分享自己的经验,让网
络更安全。
展翼科技,专业域名空间服务器,品质保证,值得信
赖。 |
