CC攻击是目前国际上攻击成本最低的一种方式,往往黑客只需要一个简单的CC攻击软件就可以对一个小型网站造成严重的损失,轻的打开慢,卡,严重的会使网站服务器直接卡死。因为CC攻击成本低,所以CC攻击是目前国内最常见的攻击方式。
简单的CC攻击往往是通过多个代理IP对网站进行大量请求,从而导致服务器资源占满,引起网站卡死,这类攻击防御起来非常简单,一般的防火墙如安全狗都是可以防护的,只需要对IP访问频率进行限制即可。
但如果黑客的代理IP较多,那就很难防了,因为对方一个IP可以设置成一分钟访问一次或者几十秒请求一次,这个频率基本上和正常用户一样了,防火墙是无法进行拦截了。
有些防火墙可以通过User-Agent过滤,即过滤某些浏览器、蜘蛛请求,但这很容易误伤,而且很多攻击都是使用正常浏览器请求的,所以并不能有效解决CC攻击问题。
那么如何有效解决CC攻击呢?
主机吧这里推荐使用百度云加速高防CDN进行防护,百度云加速不仅可以有效防护DDoS攻击,同时对CC攻击防护也是非常有效果。百度云加速提供四到七层的DDoS攻击防护,包括CC、SYN
flood、UDP flood等所有DDoS攻击方式,
通过分布式高性能防火墙+精准流量清洗+CC防御+WEB攻击拦截,组合过滤精确识别,有效防御各种类型攻击。
接入百度云加速后即可使用以下功能进行防护拦截。
WAF篇
WAF(Web Application
Firewall)网站应用防火墙,简单点讲,就是保护您网站避免被入侵的一套防火墙系统。云加速的防火墙规则由国内顶尖的云加速安全团队制定,能防御市面上超过99%常见的SQL注入、XSS、Web服务器漏洞、应用程序漏洞以及文件访问控制等等系列的渗透攻击,有效的避免您的网站遭到入侵。
下面为WAF选择展开后的功能界面:
Web应用防火墙开关 关闭后WAF功能将失效。
高级定制 点开后会发现整个WAF规则划分成了一个个模块,网站有特殊功能的用户可以自行选择使用哪些模块。
凡是出现验证码页面的拦截是基础规则拦截,基础规则在关闭WAF功能开关后依然是有效的,只能通过加IP白名单的方式解决。
安全验证有效期 很多功能都存在安全验证,在最终用户完成安全验证后的多久以内我们认为是安全的?这里需要配置有效期,如下图,多个时间可以选择:
请点击输入图片描述
浏览器检查 存在非浏览器请求方式的小伙伴请注意了,如果您网站有非浏览器请求,请关闭该功能。
访问出现浏览器检查的5秒页面,是因为您开启了ADS中CC防护的强力防护级别,在这个级别会对每一次请求进行识别,如果您不需要功能,请将CC防护调整到其他级别即可。
邮件地址混淆 开启该功能后,在您网页上所留的邮箱可以避免被爬虫扫描识别。
防盗链 开启后,您网站上的图片资源被盗链后,引用位置会出现403的显示。开启防盗链功能后,如果有部分网站是您许可链接的,那么白名单中添加域名即可。
通过以上的介绍,您现在也许已经了解云加速的全部WAF功能了。
IP防火墙篇
自定义IP防护策略,个性化安全服务。通过添加IP黑名单、IP白名单、强力防护名单,您可以对来自特定IP或IP段的请求进行拦截、放行或强力防护,从而实现IP级别的防护策略。
IP防火墙如下图,具有以下几个功能和特点
请点击输入图片描述
IP黑名单 可以禁止哪些IP来访问您的网站,目前支持B段和C段的IP防护,且支持输入0/24、0/16 进行网段屏蔽,被屏蔽后的用户访问会报1006-1008错误,如下图。
请点击输入图片描述
IP白名单 有两种情况需要添加白名单,第一种是部分用户会通过云加速对网站进行页面修改等高风险操作时,会被云加速给阻断。当您在确认用户操作是合法的情况下,请将他的IP地址加入到IP白名单进行放行;
第二种是用户出口IP在互联网上有太多的不良记录,用户的IP如果匹配上了黑名单,那么会弹出验证码框,来确认他是否是恶意扫描以及攻击,如果您认为用户IP是一个正常的访问,也需要加白名单。
下面图列分别是操作拦截以及黑名单拦截:
强力防护名单 有一些IP无论从访问频率还是行为都比较可以,但是您又担心误伤,这个功能就是为了解决上述问题而设计的,您可以输入IP或者是网段,只针对您输入的这部分进行强力防护。
严格意义来讲这个功能主要是ADS在发挥作用,但是为了用户更直观的操作,我们将他固定到了这里。
ADS篇
ADS 高级攻击防御提供了四到七层的DDoS攻击防护,包括CC、SYN flood、UDP flood等所有DDoS攻击方式, 通过分布式高性能防火墙+精准流量清洗+CC防御+WEB攻击拦截,组合过滤精确识别,有效防御各种类型攻击。
请点击输入图片描述
基础防护
DDoS防护 为域名提供四层的流量攻击防护,具体防护量级和域名的套餐类型相关。目前该功能无法关闭,因为攻击后的系统策略加载需要靠他来完成。
CC防护 在CC防护上,我们主要是以常驻规则和实时动态规则来进行防御,分为了强力、高、中、低四个等级。
强力防护:建议仅在正在受到CC攻击且防御不佳时开启
高:系统会对所有2周内产生可疑行为的用户进行选择性拦截
中:系统会智能识别出可疑请求,并且自动选择合适的认证方式(推荐)
低:系统会对本次攻击中产生可疑行为的用户进行拦截
如果在高级别时用户服务器已经超负荷,建议拉到强力模式。强力防护这个等级,会对每一次的访问进行验证,验证有效期由WAF规则中的“安全验证有效期”来进行控制。
整个ADS操作很简单,对于高端用户,建议配合自定义规则来使用。
高级防护
除了基础防护外,云加速还为国内用户提供了更多的高级防护。
请点击输入图片描述
停用海外节点 停止对该域名分配海外服务节点
超级清洗中心 使用企业级云清洗中心服务,更快更稳定,在被攻击情况下开启
海外IP防护 一键开启或停止对海外IP的访问启用防护策略
设置IP访问频率 设置单个IP的访问频率,超出限制后需通过验证才能继续访问
源站保护 设置访问源站频率的阈值,超出后站点全部流量需要通过验证后才能继续访问
URL黑名单 系统将对已添加的url的访问启用验证
转自:网页链接
使用Session为每个IP创建页面访问计数器或文件下载计数器,防止用户频繁刷新页面,导致频繁读取数据库或频繁下载文件以生成大量流量。
(文件下载不应直接使用下载地址,以便在服务器代码中过滤CC攻击)
2.将网站生成静态页面:
大量事实证明,尽可能使网站静态不仅可以大大提高防攻击能力,还会给黑客入侵带来很多麻烦。例如新浪,搜狐,网易等门户网站主要是静态页面。如果您不需要动态脚本,则可以将其发送到另一台单独的主机,以便在受到攻击时避开主服务器。
3.增强操作系统的TCP/IP栈
作为服务器操作系统,Win2000和Win2003具有一定的抵御DDOS攻击的能力。一般默认情况下没有启用。如果启用它们,它们可以承受大约10,000个SYN攻击数据包,具体如何操作可以去微软官方看一下操作方法。
4.部署高防CDN防御
防御CC攻击最简单便捷的方法就是通过接入墨者高防CDN来隐藏服务器源IP,高防CDN可以自动识别恶意攻击流量,对这些虚假流量进行智能清洗,将正常访客流量回源到源服务器IP上,保障源服务器的正常稳定运行。
CC攻击是指通过控制大量的“僵尸”计算机(也称为“肉鸡”)向目标服务器发送大量的恶意流量,从而造成服务器的过载和瘫痪。
CC攻击通常包括以下几个阶段:扫描、招募肉鸡、发动攻击、维持攻击。
网站被CC攻击怎么办?
1、域名解除绑定
目前大部分发起CC攻击的对象都是攻击域名,因此最好的办法就是先把域名解除绑定,这网站就无法被CC攻击了。但是同样的,取消绑定之后,其他正常用户也无法访问网站,因此这只是权宜之计。
2、更改域名解析
正常的CC攻击都是针对域名而发起的,这时我们可以把域名解析更改为127.0.0.1这个IP地址上,这个IP的作用是回送地址,如果把域名解析到这个IP上,cc攻击就很有可能会直接回流到攻击者自己的服务器上。
3、修改web端口
正常网站服务器的端口都是默认的80端口来进行对外访问,如果cc攻击针对的是80端口进行攻击,那么我们修改端口也就能有效避免CC攻击了。
4、屏蔽IP
一般发起CC攻击者,我们都能通过命令调用或者查找网站日志来发现攻击源IP,这时候就把攻击源ip都收集起来进行屏蔽设置,如果攻击者是用某个ip段发起cc攻击,那么我们就要把整个ip段一起屏蔽,这样可以有效的抵御一部分cc攻击。
5、优化网站代码
网站尽可能使用静态页面,因为静态页面的数据量较少,相比动态页面而言,不用频繁的调用数据库,这样即使面对CC攻击,也能大大的减少服务器的吞吐量,不至于造成卡死、宕机等现象。
CC攻击通常包括以下几个阶段:扫描、招募肉鸡、发动攻击、维持攻击。
网站被CC攻击怎么办?
1、域名解除绑定
目前大部分发起CC攻击的对象都是攻击域名,因此最好的办法就是先把域名解除绑定,这网站就无法被CC攻击了。但是同样的,取消绑定之后,其他正常用户也无法访问网站,因此这只是权宜之计。
2、更改域名解析
正常的CC攻击都是针对域名而发起的,这时我们可以把域名解析更改为127.0.0.1这个IP地址上,这个IP的作用是回送地址,如果把域名解析到这个IP上,cc攻击就很有可能会直接回流到攻击者自己的服务器上。
3、修改web端口
正常网站服务器的端口都是默认的80端口来进行对外访问,如果cc攻击针对的是80端口进行攻击,那么我们修改端口也就能有效避免CC攻击了。
4、屏蔽IP
一般发起CC攻击者,我们都能通过命令调用或者查找网站日志来发现攻击源IP,这时候就把攻击源ip都收集起来进行屏蔽设置,如果攻击者是用某个ip段发起cc攻击,那么我们就要把整个ip段一起屏蔽,这样可以有效的抵御一部分cc攻击。
5、优化网站代码
网站尽可能使用静态页面,因为静态页面的数据量较少,相比动态页面而言,不用频繁的调用数据库,这样即使面对CC攻击,也能大大的减少服务器的吞吐量,不至于造成卡死、宕机等现象。
1、取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开"IIS管理器"定位到具体站点右键"属性"打开该站点的属性面板,点击IP地址右侧的"高级"按钮,选择该域名项进行编辑,将"主机头值"删除或者改为其它的(域名)。
2、域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的。
现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务,可以登录进去之后进行设置。
3、更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点"属性"面板,在"网站标识"下有个TCP端口默认为80,我们修改为其他的端口就可以了。
4、IIS屏蔽IP
通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。
在相应站点的"属性"面板中,点击"目录安全性"选项卡,点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框,可以设置"拒绝访问"即"黑名单"。将攻击者的IP添加到"拒绝访问"列表中,就屏蔽了该IP对于Web的访问。
二、CC攻击的防范手段
1、优化代码
尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销。减少复杂框架的调用,减少不必要的数据请求和处理逻辑。程序执行中,及时释放资源,比如及时关闭mysql连接,及时关闭memcache连接等,减少空连接消耗。
2、限制手段
对一些负载较高的程序增加前置条件判断,可行的判断方法如下:
必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);必须具有正确的referer(可有效防止嵌入式代码的攻击);禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征);同一session多少秒内只能执行一次。
3、完善日志
尽可能完整保留访问日志。日志分析程序,能够尽快判断出异常访问,比如单一ip密集访问;比如特定url同比请求激增。本回答被网友采纳