家好,今天小蚁君给大家分享一个昨天接入我们防护的客户,说下这个客户特点, 网站业务,由于源服务器是在阿里云,防护阈值很低,基本上是无防御的,随便压测一下就死,通过朋友介绍过来,了解情况后,我们马上派出小蚁云安全应急小组,开始是接入了一个300G的高防IP,解析我们提供的别名后客户这边马上解析,网站马上恢复过来,过了半个小时左右,攻击又来了,打到了386G的一个峰值,我们应急小组技术马上配置了400G的高防IP先给客户顶住,上午顶住了,业务正常运行,我松了一口气,还好对方的量不是太大,到了晚上的时候,客户那边群里又过来说网站打不开了,我们技术组检查了一下,叫他们查看一下服务器的CPU 果然客户那边反馈出来的是CPU占用100% 被CC了,咨询我们技术后 高防IP本身就是主要防DDOS的一款安全产品,给客户推荐了一下C10抗C产品,客户那边业务比较着急马上要求接入 目前已经在对方的猛烈攻击下,正常运行了一天了,不知道对方还有什么招,希望对方放弃吧,毕竟一直耗着大家都亏钱……,网站一旦被打死,对客户平台的业务影响是非常巨大的,正在运营的站长和老板们一定要重视网站的日常维护和安全防护,建议刚开始运营的业务一开始就配置上防护产品,这样面对大量的攻击,也好去配置更大的防护资源,保障业务的运营
讲讲CC攻击吧:对于CC攻击而言来源的IP都是真实且分散的,而且cc攻击的数据包都是正常的数据包,所以它的请求全部都属于有效请求,无法拒绝。 对业务而言,防CC的办法就是封IP,但有可能误杀掉正常用户。访问的IP,防CC的算法要么就是挑战,要么就限速,但可能会影响到体验,爬虫和在线实时性。再就是防护的源随机,分散,难以用单体设备的方案存储如此大的数据。客户体验与终端的误判,才是cc攻击的防御难点。
那平时我们只知道CC攻击,却不知CC攻击还蕴藏着升级版,什么是变异CC和轮回CC呢?
无限CC 循环,反复的请求某些页面
动态CC
专打ASP,PHP等动态页面,这样一来对系统的负载是非常高的
无缓冲CC
穿透cache,因为大部门web服务器都有cache,所以这种CC是直接绕过cache直接消耗服务端性能
HTTP空get请求
不请求URL
循环下载CC
使用真实的协议循环下载文件以此来增大服务端的性能压力
这就是CC攻击的介绍
如果您有遇到被攻击打死,业务打不开的情况,可以联系小蚁安全团队来给您解决,
而且我们拥有多年实战经验,快速分析攻击类型。
秒响应售后服务,快速了解客户需求并处理。
针对客户程序订制专属防护,让您无所畏惧。
不推荐最贵的,只推荐最合适的,为您节约成本。
首先,如果你正在遭受攻击,应该先判断是哪种攻击方式。CC攻击主要工作原理是耗资源,这就需要看是那种攻击方式,看抓包分析是否是通过多IP,刷新页面,如果是这是最典型的Cc攻击。如果cc攻击你网站打不开,指定会有一种资源耗尽,才会引发网站打不开或者加载缓慢。可自行判断一下,是下列四种情况中的那一种。
1、耗Cpu资源
黑客用1万台肉鸡,刷新你网站动态页面,如果你程序不够健壮,cpu直接100%
2、耗内存资源
黑客只要刷新你动态页面中搜索数据库的内容,只要搜索量一大,内存占满。网站直接打不开或者是非常卡。
3、耗I/o资源
黑客找到上传文件,或者是下载文件的页面,在不停的上传与下载,磁盘资源点满
4、耗带宽资源
下面这个带宽接10G,攻击上来2G,能看流量占用多少,如果流量占满了,服务器直接掉包,掉线。网站一点都打不开。如果自己主机上不去,你可以问运营商要流量图,机房都有流量图的。
服务器被cc攻击怎么办
在确定了服务器确实是在遭受cc攻击之后,可以采取以下措施。
(1).取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是”www.star-net.cn”,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。
对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开”IIS管理器”定位到具体站点右键”属性”打开该站点的属性面板,点击IP地址右侧的”高级”按钮,选择该域名项进行编辑,将”主机头值”删除或者改为其它的值(域名)。
经过模拟测试,取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。
(2).域名欺骗解析
如果发现针对域名的CC攻击,那么除了取消绑定,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果解析到这个地址上,那么攻击很可能会直接回到攻击者自己的服务器上。
另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。
现在一般的Web站点都是利用类似”新网”这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。
(3).更改Web端口
一般情况下Web服务器通过80端口对外提供服务,如果攻击者默认了该端口进行攻击,那么我们进行修改的话也可以有效避免被攻击。所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点”属性”面板,在”网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。
(4).IIS屏蔽IP
如果攻击针对IP,我们通过命令或日志发现了攻击源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在服务器前端加CDN中转,用于隐藏服务器的真实IP,域名解析使用CDN的 IP,所有解析的子域名都使用CDN的 IP地址。我们可以将攻击者的IP添加到”拒绝访问”列表中,就屏蔽了该IP对于Web的访问。