您的当前位置:首页CC攻击防御处理

CC攻击防御处理

2021-06-09 来源:爱问旅游网
ChinaDDOSAnti-DDOSService

v4.0版本-CC攻击防御处理

―――――――――――――――――――――――――――――

中国DDOS防御实验室www.chinaddos.com©版权所有2009

CC攻击防御处理

随着网络攻击的逐步的多样化,仅仅以前防御是无法有效的防御住攻击的产生。近来有着许多用户的服务器都遭受到不同程度的CC攻击。很多用户在遭受到CC攻击的情况下,感觉束手无策。

长沙市智为信息技术有限公司秉承为用户的着想的角度出发,在不断完善CHinDDOS防火墙的同时,也针对这类攻击介绍在v4.0的版本情况下教导用户如何进行有效的防御。

DDOS现在比较流行的一种方式是CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,导致玩家进入游戏界面选择和建立不了人物。我们将针对这种攻击方式的防御策略规则做说明解释。以帮助用户在碰到类似情况的处理。

WEBCC攻击

Webcc这类攻击是主要是针对网站进行攻击,利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭造成拒绝服务。如下图所示

长沙市智为信息技术有限公司2页共10页

CC攻击防御处理

90.253的这个地址的入IP数量和tcp的连接数量都超出正常的情况。并且90.253的网站服务器出现网络域名地址访问不到的情况。我们在通过产看IP链接表,可以发现拥有大量的IP在链接90.253的80端口。

而80端口都默认web访问端口,由此我们可以判定90.253的服务器遭受了WEBCC攻击。

由于用户对于ChinaDDOS防火墙以及TCP协议的理解差异,所以我们针对这类方式提供了二种操作方式。

第一种操作方式全处理的办法

我们通过制定高级防御规则来处理这类CC攻击。选择《安全配置中心》——《高级防御规则库》,新增以下规则内容

长沙市智为信息技术有限公司3页共10页

CC攻击防御处理

由于现在是因为大量的一些IP在恶意访问服务器消耗服务器资源,占用网络带宽。所以,我们可以在此时设置这样的防御条件,将这个时候所有访问90.253服务器80端口的所有IP都加入到黑名单中。待一分钟以后,再将该防御规则删除。通过这个操作以后,我们可以看到90.253的服务器情况如下

长沙市智为信息技术有限公司4页共10页

CC攻击防御处理

通过上面的内容,我可以很清楚的看到经过处理以后的服务器情况得到很大的改善。这就是我们所说明的全处理使用方式。

优点:这类处理方式的优点在于,攻击情况出现以后可以很快的通过这个方式进行处理。使服务器恢复到正常状态。不需要对tcp/ip协议有很深程度的了解。

缺点:这种处理方式是针对所有的访问90.235的80端口IP进行处理的。所以在一定程度上会造成误封的情况。特别是对于虚拟主机,会影响到其它域名用户的正常访问。注意:

1.在采取这种处理方式时,一定要记得该规则在设定生效后,大约在1分钟左右就需要将它设置回来或者是删除该规则。避免其他的正常ip一并被处理。

2.切记在设定完规则或取消规则以后,都要应用一下防火墙设置才会生效。

第二种处理方式分析利用高级策略功能

WEBCC攻击攻击都是采用代理或者是肉鸡去访问目标服务器网站的,拖垮服务器的使用资源。由于这类攻击都是通过某种方式去实现的攻击,所以我们只要找出这类攻击手法的特点,便可针对性地利用它的特点进行高级防御规则的建立。这样便可起到非常有效的防御手段。

我们通过《安全分析中心》——《分析工具》设定相关条件(由于在实际处理过程中,未有截图设置条件)捕获相关内容如下

长沙市智为信息技术有限公司5页共10页

CC攻击防御处理

通过WEBCC的攻击原理,我们可以了解到CC攻击是访问网站耗费服务器资源。我们可以通过多次捕获数据包的内容,查询带有GET字样(黄线)的TCP数据内容,发现有很多的IP都在访问

www.1jiaocheng.Cn(红线)这个域名。当然光从这点是无法判断这个是否是攻击者所发起的攻击目标,我们再次仔细排查可以发现同时有很多IP访问这个域名的时候,它们所有的IP包长都在264字节(蓝线),这显然是极为不正常的现象。

通过以上的判断条件,我们可以设定相应的高级防御规则,拦截处理这类具有一定攻击性质的数据包,以确保服务器的正常使用。

选择《安全配置中心》——《高级防御规则库》建立以下相应的防御策略条件

长沙市智为信息技术有限公司6页共10页

CC攻击防御处理

在建立完高级防御规则以后,请切记将刚刚的操作保存应用。至此生效使用。变种CC攻击

变种CC攻击其基本原理是:攻击发起主机(attackerhost)多次通过网络中的HTTP代理服务器(HTTPproxy)向目标主机(targethost)上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务(DenialofService)。这是一种很聪明的分布式拒绝服务攻击(DistributedDenialofService)与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机,代理服务器充当了这个角色。

在防火墙界面上面,我们可以通过IP信息表中查看。如下图所示

长沙市智为信息技术有限公司7页共10页

CC攻击防御处理

通过截图可以看出,此时172.111这个IP服务器出现异常的情况。

19966个IP的链接13.6M的入站流量以及7681个tcp链接

通过点击IP链接表时,我们可以看到每个IP的具体链接情况,可以发现有大量的IP在连接172.111这个IP服务器(如下图)

长沙市智为信息技术有限公司8页共10页

CC攻击防御处理

同时,我们可以发现这链接的IP中,存在很多大量的入包和出包数量非常少的IP。由于该服务器是属于网络游戏服务器,一个正常的链接通常都会有较多的数据内容产生。由此我们可以判断出那些出入包数量特别少的IP为异常IP。

在确定这类IP为异常IP后,我们所需要作的防御是将这类IP加入到动态黑名单中。通过以上几次操作以后,我们可以发现当我们把那些异常IP加入到动态黑名单以后,IP信息表中的提示信息内容已经恢复到正常状态。(如下图)

长沙市智为信息技术有限公司9页共10页

CC攻击防御处理

如果用户在实际操作中有发现实际情况没有达到理想的效果时,这是还有存在有攻击IP没有全部加入到动态黑名单的现象,用户则需要多执行以上操作便可完全防御这类攻击。

在此声明

1.该防御处理方法不管是正使用户还是注册用户也好,都可以很好的起到防御效果。

注:正式用户指的是成为我们的正式会员,也就是付费用户。

注册用户指的是在网站上面注册成功以后,并免费使用的用户(该用户限制保护10个IP

地址)。

2.以下解决CC攻击的防御方法一切都是建立在ChinaDDOS防火墙v4.0的基础上实现的。如果用户使用的是非v4.0版本或是其他品牌的DDOS防火墙。以下解决方案是无效的。

3.由于所有叙述内容都是建立在实际操作情况的处理方面,采取临时截取的图片,以致很多方面的图片资料不完整。实际操作道理都是一样的。用户在不了解或不明白的情况下,可以通过网站论坛或者是QQ的多种方式直接和我们联系咨询。

长沙市智为信息技术有限公司10页共10页

因篇幅问题不能全部显示,请点此查看更多更全内容