DDoS攻擊、CC攻擊的攻擊方式和防護方法

DDoS介紹

DDoS是英文Distributed Denial of Service的縮寫，意即「分佈式拒絕服務」，那麼什麼又是拒絕服務（Denial of Service）呢？能夠這麼理解，凡是能致使合法用戶不可以訪問正常網絡服務的行爲都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的很是明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。分佈式拒絕服務攻擊一旦被實施，攻擊網絡包就會從不少DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，致使合法用戶沒法正常訪問服務器的網絡資源，所以，拒絕服務攻擊又被稱之爲「洪水式攻擊」，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

目前而言，黑客甚至對攻擊進行明碼標價，打1G的流量到一個網站一小時，只需50塊錢。DDoS的成本如此之低，並且攻擊了也沒人管。

 

關於DDos攻擊的常見方法

1. SYN Flood：利用TCP協議的原理，這種攻擊方法是經典最有效的DDOS方法，可通殺各類系統的網絡服務，主要是經過向受害主機發送大量僞造源IP和源端口的SYN或ACK 包，致使主機的緩存資源被耗盡或忙於發送迴應包而形成拒絕服務。TCP通道在創建之前，須要三次握手：
a. 客戶端發送一個包含SYN標誌的TCP報文， 同步報文指明客戶端所須要的端口號和TCP鏈接的初始序列號
b. 服務器收到SYN報文以後，返回一個SYN+ ACK報文，表示客戶端請求被接受，TCP初始序列號加1
c.客戶端也返回一個確認報文ACK給服務器，一樣TCP序列號加1
d. 若是服務器端沒有收到客戶端的確認報文ACK，則處於等待狀態，將該客戶IP加入等待隊列，而後輪訓發送SYN+ACK報文
因此攻擊者能夠經過僞造大量的TCP握手請求，耗盡服務器端的資源。

2. HTTP Flood：針對系統的每一個Web頁面，或者資源，或者Rest API，用大量肉雞，發送大量http request。這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的，特徵是和服務器創建正常的TCP鏈接，並不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。缺點是對付只有靜態頁面的網站效果會大打折扣。

3. 慢速攻擊：Http協議中規定，HttpRequest以\r\n\r\n結尾來表示客戶端發送結束。攻擊者打開一個Http 1.1的鏈接，將Connection設置爲Keep-Alive， 保持和服務器的TCP長鏈接。而後始終不發送\r\n\r\n， 每隔幾分鐘寫入一些無心義的數據流， 拖死機器。

4. P2P攻擊：每當網絡上出現一個熱門事件，好比XX門， 精心製做一個種子， 裏面包含正確的文件下載， 同時也包括攻擊目標服務器的IP。這樣，當不少人下載的時候， 會無心中發起對目標服務器的TCP鏈接。

 

DDOS攻擊現象斷定方法

1.SYN類攻擊判斷：A.CPU佔用很高；B.網絡鏈接狀態：netstat –na,若觀察到大量的SYN_RECEIVED的鏈接狀態；C.網線插上後，服務器當即凝固沒法操做，拔出後有時能夠恢復，有時候須要從新啓動機器纔可恢復。
2.CC類攻擊判斷：A.網站出現service unavailable提示；B.CPU佔用率很高；C.網絡鏈接狀態：netstat –na,若觀察到大量的ESTABLISHED的鏈接狀態 單個IP高達幾十條甚至上百條；D.用戶沒法訪問網站頁面或打開過程很是緩慢,軟重啓後短時間內恢復正常,幾分鐘後又沒法訪問。
3.UDP類攻擊判斷：A.觀察網卡情況 每秒接受大量的數據包；B.網絡狀態：netstat –na TCP信息正常。
4.TCP洪水攻擊判斷：A.CPU佔用很高；B.netstat –na,若觀察到大量的ESTABLISHED的鏈接狀態 單個IP高達幾十條甚至上百條

 

DDoS攻擊防護方法：

1. 過濾沒必要要的服務和端口：可使用Inexpress、Express、Forwarding等工具來過濾沒必要要的服務和端口，即在路由器上過濾假IP。好比Cisco公司的CEF(Cisco Express Forwarding)能夠針對封包Source IP和Routing Table作比較，並加以過濾。只開放服務端口成爲目前不少服務器的流行作法，例如WWW服務器那麼只開放80而將其餘全部端口關閉或在防火牆上作阻止策略。
2. 異常流量的清洗過濾：經過DDOS硬件防火牆對異常流量的清洗過濾，經過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定製過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防護800-927萬個syn攻擊包。
3. 分佈式集羣防護：這是目前網絡安全界防護大規模DDOS攻擊的最有效辦法。分佈式集羣防護的特色是在每一個節點服務器配置多個IP地址（負載均衡），而且每一個節點能承受不低於10G的DDOS攻擊，如一個節點受攻擊沒法提供服務，系統將會根據優先級設置自動切換另外一個節點，並將攻擊者的數據包所有返回發送點，使攻擊源成爲癱瘓狀態，從更爲深度的安全防禦角度去影響企業的安全執行決策。
4. 高防智能DNS解析：高智能DNS解析系統與DDOS防護系統的完美結合，爲企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的作法，智能根據用戶的上網路線將DNS解析請求解析到用戶所屬網絡的服務器。同時智能DNS解析系統還有宕機檢測功能，隨時可將癱瘓的服務器IP智能更換成正常服務器IP，爲企業的網絡保持一個永不宕機的服務狀態。

DDoS攻擊的網絡流量清洗

當發生DDOS攻擊時，網絡監控系統會偵測到網絡流量的異常變化併發出報警。在系統自動檢測或人工判斷以後，能夠識別出被攻擊的虛擬機公網IP地址。這時，可調用系統的防DDOS攻擊功能接口，啓動對相關被攻擊IP的流量清洗。流量清洗設備會當即接管對該IP地址的全部數據包，並將攻擊數據包清洗掉，僅將正常的數據包轉發給隨後的網絡設備。這樣，就能保證整個網絡正常的流量通行，而將DDOS流量拒之門外。
採用雲DDoS清洗方式，能夠爲企業用戶帶來諸多好處。其表如今不只能夠提高綜合防禦能力，用戶可以按需付費，可彈性擴展，並且還可以基於大數據來分析預測攻擊，同時可以免費升級。對於企業用戶來講，則可實現零運維、零改造。

 

 

CC攻擊介紹

CC攻擊（Challenge Collapsar）是DDOS（分佈式拒絕服務）的一種，前身名爲Fatboy攻擊，也是一種常見的網站攻擊方法。攻擊者經過代理服務器或者肉雞向向受害主機不停地發大量數據包，形成對方服務器資源耗盡，一直到宕機崩潰。相比其它的DDOS攻擊CC彷佛更有技術含量一些。這種攻擊你見不到真實源IP，見不到特別大的異常流量，但形成服務器沒法進行正常鏈接。最讓站長們憂慮的是這種攻擊技術含量低，利用更換IP代理工具和一些IP代理一個初、中級的電腦水平的用戶就可以實施攻擊。

 

CC攻擊防護方法

1. 利用Session作訪問計數器：利用Session針對每一個IP作頁面訪問計數器或文件下載計數器，防止用戶對某個頁面頻繁刷新致使數據庫頻繁讀取或頻繁下載某個文件而產生大額流量。（文件下載不要直接使用下載地址，才能在服務端代碼中作CC攻擊的過濾處理）
2. 把網站作成靜態頁面：大量事實證實，把網站儘量作成靜態頁面，不只能大大提升抗攻擊能力，並且還給駭客入侵帶來很多麻煩，至少到如今爲止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非須要動態腳本調用，那就把它弄到另一臺單獨主機去，免的遭受攻擊時連累主服務器。
3. 加強操做系統的TCP/IP棧
Win2000和Win2003做爲服務器操做系統，自己就具有必定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啓而已，若開啓的話可抵擋約10000個SYN攻擊包，若沒有開啓則僅能抵禦數百個，具體怎麼開啓，本身去看微軟的文章吧！《強化 TCP/IP 堆棧安全》。也許有的人會問，那我用的是Linux和FreeBSD怎麼辦？很簡單，按照這篇文章去作吧！《SYN Cookies》。
4. 在存在多站的服務器上，嚴格限制每個站容許的IP鏈接數和CPU使用時間，這是一個頗有效的方法。CC的防護要從代碼作起，其實一個好的頁面代碼都應該注意這些東西，還有SQL注入，不光是一個入侵工具，更是一個DDOS缺口，你們都應該在代碼中注意。舉個例子吧，某服務器，開動了5000線的CC攻擊，沒有一點反應，由於它全部的訪問數據庫請求都必須一個隨機參數在Session裏面，全是靜態頁面，沒有效果。忽然發現它有一個請求會和外面的服務器聯繫得到，須要較長的時間，並且沒有什麼認證，開800線攻擊，服務器立刻滿負荷了。代碼層的防護須要從點點滴滴作起，一個腳本代碼的錯誤，可能帶來的是整個站的影響，甚至是整個服務器的影響!
5. 服務器前端加CDN中轉(免費的有百度雲加速、360網站衛士、加速樂、安全寶等)，若是資金充裕的話，能夠購買高防的盾機，用於隱藏服務器真實IP，域名解析使用CDN的IP，全部解析的子域名都使用CDN的IP地址。此外，服務器上部署的其餘域名也不能使用真實IP解析，所有都使用CDN來解析。
另外，防止服務器對外傳送信息泄漏IP地址，最多見的狀況是，服務器不要使用發送郵件功能，由於郵件頭會泄漏服務器的IP地址。若是非要發送郵件，能夠經過第三方代理(例如sendcloud)發送，這樣對外顯示的IP是代理的IP地址。
總之，只要服務器的真實IP不泄露，10G如下小流量DDOS的預防花不了多少錢，免費的CDN就能夠應付得了。若是攻擊流量超過20G，那麼免費的CDN可能就頂不住了，須要購買一個高防的盾機來應付了，而服務器的真實IP一樣須要隱藏

 

WAF介紹

WAF（Web Application Firewall）的中文名稱叫作「Web應用防火牆」，利用國際上公認的一種說法，WAF的定義是這樣的：Web應用防火牆是經過執行一系列針對HTTP/HTTPS的安全策略來專門爲Web應用提供保護的一款產品。經過從上面對WAF的定義中，咱們能夠很清晰的瞭解到，WAF是一種工做在應用層的、經過特定的安全策略來專門爲Web應用提供安全防禦的產品。

根據不一樣的分類方法，WAF可分爲許多種。從產品形態上來劃分，WAF主要分爲如下三大類：

1.硬件設備類：目前安全市場上，大多數的WAF都屬於此類。它們以一個獨立的硬件設備的形態存在，支持以多種方式（如透明橋接模式、旁路模式、反向代理等）部署到網絡中爲後端的Web應用提供安全防禦。相對於軟件產品類的WAF，這類產品的優勢是性能好、功能全面、支持多種模式部署等，但它的價格一般比較貴。國內的綠盟、安恆、啓明星辰等廠商生產的WAF都屬於此類。
2.軟件產品類：這種類型的WAF採用純軟件的方式實現，特色是安裝簡單，容易使用，成本低。但它的缺點也是顯而易見的，由於它必須安裝在Web應用服務器上，除了性能受到限制外，還可能會存在兼容性、安全等問題。這類WAF的表明有ModSecurity、Naxsi、網站安全狗等。
3.基於雲的WAF：隨着雲計算技術的快速發展，使得其於雲的WAF實現成爲可能。國內創新工場旗下的安全寶、360的網站寶是這類WAF的典型表明。它的優勢是快速部署、零維護、成本低。對於中、小型的企業和我的站長是頗有吸引力的。

 

DDoS攻擊測試工具

1. 盧瓦(LOIC) (Low Orbit Ion Canon)：LOTC是一個最受歡迎的DOS攻擊工具。 這個工具被去年流行的黑客集團匿名者用於對許多大公司的網絡攻擊。它能夠經過使用單個用戶執行DOS攻擊小型服務器，工具很是易於使用，即使你是一個初學者。 這個工具執行DOS攻擊經過發送UDP,TCP或HTTP請求到受害者服務器。 你只須要知道服務器的IP地址或URL，其餘的就交給這個工具吧。
2. XOIC：XOIC是另外一個不錯的DOS攻擊工具。它根據用戶選擇的端口與協議執行DOS攻擊任何服務器。XOIC開發者還聲稱XOIC比上面的LOIC在不少方面更強大呢。
3. R-U-Dead-Yet：R-U-Dead-Yet是一個HTTP post DOS攻擊工具。它執行一個DOS攻擊長表單字段，經過POST方法提交。這個工具提供了一個交互式控制檯菜單，檢測給定的URL,並容許用戶選擇哪些表格和字段應用於POST-based DOS攻擊。
4. OWASP DOS HTTP POST：這是另一個很好的工具。您可使用這個工具來檢查您的web服務器可否夠捍衛得住別人的DOS攻擊。固然，不只對防護，它也能夠用來執行DOS攻擊哦。
5. DAVOSET：DAVOSET是另外一個很好的執行DDOS攻擊工具。 最新版本的工具新增支持cookie以及許多其餘功能。

 

 

文章參考：

http://www.admin5.com/article/20081102/112695.shtml
https://baike.so.com/doc/6742131-6956653.html
http://secsky.sinaapp.com/216.html
https://baike.so.com/doc/5339607-5575049.html
http://netsecurity.51cto.com/art/201406/442756.htm
http://netsecurity.51cto.com/art/201403/431623.htm
http://netsecurity.51cto.com/art/201407/444154.htm
http://netsecurity.51cto.com/art/201406/441851.htm
http://netsecurity.51cto.com/art/201406/441937.htm
http://netsecurity.51cto.com/art/201403/432081.htm
http://netsecurity.51cto.com/art/201310/413127.htm
http://netsecurity.51cto.com/art/201305/395144.htm
http://netsecurity.51cto.com/art/201211/364772.htm

 

版權聲明：本文采用署名-非商業性使用-相同方式共享(CC BY-NC-SA 3.0 CN)國際許可協議進行許可,轉載請註明做者及出處。 本文標題：DDoS攻擊、CC攻擊的攻擊方式和防護方法 本文連接：http://www.cnblogs.com/sochishun/p/7081739.html 本文做者：SoChishun (郵箱:14507247#qq.com | 博客:http://www.cnblogs.com/sochishun/)發表日期：2017年6月26日