CC攻击,与DDOS、UDP、SYN Flood并为当今最流行的四大攻击方式,硬件防火墙防御UDP等效果较好,但对于CC这种全连接攻击,软件防御更占优势;
CC防御的原理概括:利用代理或者肉鸡的方式,对某服务器某个(某些)消耗资源较大的处理过程(文件)进行大量请求,远远超出服务器的处理能力,导致服务器瘫痪,无法响应正常请求;
基本特征:可以通过cmd命令:netstat –an查看当前TCP连接数,如果发现许多重复的等待连接数,如“TCP 211.87.147.4:80 220.10.69.67:2205 SYN_RECEIVED 4”,并且服务器CPU一直100%,带宽使用也很高,停止网络服务后CPU使用恢复正常,这种情况基本可以断定为CC攻击。
IIS专家的CC防御,相比其它软件的防御,有着智能防御的优势,不影响正常用户的访问,我们接下来进行演示:
一、 CC防御基本信息设置:
我们先设置CC防御后发送到客户端浏览器的提示信息,
接下来对CC防御基本参数进行设置,
关于防御性能指数,如果不能防御CC,我们可以设置的更低一些,比如8-15之间即可。
设置好后,让我们继续:
二、 拒绝代理访问:
1、 普通CC利用代理发动攻击,我们选中图2中的【拒绝所有代理访问】就可以很好的防止代理访问的攻击。设置好浏览器的代理,打开测试页面,
三、 防御恶意刷新演示:
1、 设置单IP连接数访问上限为15(表示每个IP一秒内允许对某个页面进行15次请求),超过该上限即认为恶意刷新,系统进行拦截,
该IP被拦截后,根据2的【防御解锁时间】,该时间过后该IP自动解封,如果继续发动攻击,则继续重新拦截!拦截后,能立即生产拦截日志:blacklist_ip.log
四、 防御肉鸡攻击演示(以半自动过滤为例):
比较高级的CC攻击,除了使用代理,也使用肉鸡的方式进行攻击,导致服务器不堪重负,IIS专家如果发现肉鸡攻击,立即会要求访问该页面的用户输入验证,验证后用户可以正常访问,同时,服务器其他未被攻击的页面可以照常访问,丝毫无影响,5:
该页面被防护后,根据2的【防御解锁时间】,该时间过后该页面的防御自动解除,如果继续被攻击,则IIS专家将对该页面继续重新防护!拦截后,能立即产生日志:blacklist_cc.log
五、 IP黑名单:
对于不信任的IP,可以将其直接加入黑名单,阻止对服务器进行访问,
设置IP“127.0.0.1”到黑名单,通过该IP访问的用户就会被拦截,
CC防御后,IIS专家会记录攻击日志,
六、 总结:
1、 IIS专家测试过成功防御8000TCP连接攻击;
2、 CC防御效果与很多因素有关系,包括防御规则设置、服务器本身参数、非法用户攻击对象、非法用户攻击方式等;
3、 为了更加人性化,IIS专家不会鲁莽地对正常用户进行拒绝, 而白名单制度很好的解决了这个问题; |
