每天一技:全面了解CC攻击和防范策略

本文涉及的产品
.cn 域名,1个 12个月
日志服务 SLS,月写入数据量 50GB 1个月
简介: CC攻击是一种模拟真实用户请求,导致服务器资源耗尽的网络攻击。攻击者利用工具生成木马,控制大量“肉鸡”对目标网站发起恶意请求,使服务器CPU过载,网站无法正常服务。特点是请求有效、IP分散、数据包真实、针对网页。常见类型包括直接攻击、肉鸡攻击、僵尸攻击和代理攻击。判断CC攻击可通过观察CPU usage飙升和系统日志异常。大型网站如某度、Google因代码规范、硬件配置高、缓存策略、严格防火墙和负载均衡等技术能有效防御。防御措施包括IP封禁、人机验证、静态化页面、更改Web端口、日志分析等,或使用SCDN产品提供全面防护,包括Web攻击防护、DDoS防护、合规性保障、流量管理和安全可视化功能。

CC攻击是什么

现实生活中的例子:

有一个商家正在举行一个活动,凡是参与者都会获得奖品,但是参与者在获得奖品以后用另一个身份继续参与活动,从而造成了商家资源的流失,超过了最大预期峰值,这样就会使活动无法继续进行。

实际举例

假如我们的服务器的CPU最多能处理100个连接请求,只是普通的访问网站,服务器就会正常运行。

如果有人通过工具,对服务器发送了数以万计的连接请求,服务器CPU的负载将达到百分百。

如此一来,服务器就会卡死,也就是我们常说的网站被攻击。
图片.png

CC攻击原理
图片.png

步骤:

黑客通过“CC攻击工具”生成木马文件,广播到互联网上
当有用户下载并运行木马文件将成为"肉鸡"(中了病毒的电脑)
这些的"肉鸡"在接收到了攻击指令以后对目标网(xxx.com)反复进行恶意请求
大量的恶意请求造成服务器的CPU压力过大,导致服务器宕机(常说的死机,电脑卡死,自动关机)
最终结果网站无法在为用户提供正常的服务(无法打开网页)

CC攻击有哪些特点?
1.CC攻击的请求都是模拟真实的有效请求,所以不能被拒绝;
2.用来发起CC攻击的IP都是真实而分散的,所以很难溯源;
3.CC攻击的数据包都是模拟真实用户的正常数据包;
4.CC攻击一般是针对网页攻击,服务器可以连接,ping没问题,但网页无法访问。

CC攻击的种类
CC攻击的种类有三种:直接攻击、肉鸡攻击、僵尸攻击、代理攻击。

1、直接攻击:主要针对有重要缺陷的WEB应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。

2、肉鸡攻击:一般是黑客使用CC攻击软件,控制大量肉鸡,肉鸡可以模拟正常用户来访问网站,能够伪造合法数据包请求,通过大量肉鸡的合法访问来消耗服务器资源。

3、僵尸攻击:有点类似于DDOS攻击了,僵尸攻击通常是网络层面的DDoS攻击,WEB应用程序层面上已经无法防御。

4、代理攻击(常见):CC攻击者一般会操作一批代理服务器,比方说100个代理,然后每个代理同时发出10个请求,这样WEB服务器同时收到1000个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时WEB服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,这时就出现页面打开极其缓慢或者白屏。

如何判断CC攻击?
CC攻击是通过大量的代理IP进行访问网站,从而达到网站服务器无法负荷最终瘫痪的过程。要想判断CC攻击,方法有多种:

1、如果发现网站在短时间内cpu直线上升,而且网站打开变慢甚至502错误,那可能是遭受cc攻击了。
图片.png
图片.png

2、查看系统日志
通过检查日志,判断出cc攻击者的ip,进而对ip进行屏蔽限制。

为什么某度、Google(谷歌)等网站不会被攻击?
会被攻击,并且是大规模的攻击,但是做到了以下几点

程序代码更规范
服务器硬件配置非常高
缓存命中率更高
防火墙策略严谨
负载均衡技术
SCDN内容分发技术

因此可以轻松抵御大规模攻击

整个过程
图片.png

过程解读

1.用户访问网站发送请求
2.服务器接收请求
3.判断是否命中缓存
4.命中-->使用缓存数据,未命中-->分析用户行为

合法请求处理方式
返回200状态码,正常解析

恶意请求处理方式
1.屏蔽攻击源IP
2.将用户主机IP拉入黑名单
3.分为暂时性拉黑,永久性拉黑
4.限制请求频率
5.对用户的访问频率进行限制,
6.比如每秒可以访问多少次
7.每分钟可以访问多少次

负载均衡

如果当前服务器容纳的连接达到峰值导致CPU压力过大

WEB服务端会将用户请求的连接转发至其他服务器上,达到负载均衡效果

如何防御CC攻击?
图片.png

1.针对IP进行封禁,例如一个IP如果在一秒内请求大于100的,可以封禁掉(一般肉鸡的话,都N多IP,封禁不过来的)

2.针对被高频访问的URL做人机验证,譬如定制为10秒内访问超过100次的,需要进行真人验证,有效防止被刷(也需要你有足够的宽带,如果宽带不够早就卡死了)

3.网站页面静态化,网站页面静态化可以较大程度的减少系统资源消耗,从而达到提高抗系统抗攻击能力(业务不同,成本高)。

4.更改Web端口,通常情况Web服务器都是通过80端口提供对外服务,所以黑客发起攻击的默认端口也是80端口,那么修改Web端口,可以起到防护CC攻击的目的。

5.取消域名绑定,黑客发起攻击时,很可能使用攻击工具设定攻击对象为域名,然后实施攻击,取消域名绑定后,可以让CC攻击失去目标,Web服务器的资源占用率也能够迅速恢复正常,因为通过IP还是可以正常访问的,所以对针对IP的CC攻击取消域名绑定是没用的。

6.完善日志,要有保留完整日志的习惯,通过日志分析程序,能够尽快判断出异常访问,同时也能收集有用信息,比如发现单一IP的密集访问,特定页面的URL请求激增等等。

以上功能操作复杂,需要做到以上要求,操作繁琐,然而使用安全加速SCDN产品,包含以上所功能,一键式接入永久解决问题

优势以及包含功能

1.Web攻击防护
1.1OWASP TOP 10威胁防护
有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护。
1.2智能语义解析引擎
提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XXS攻击检测能力。
1.3AI检测和行为分析
通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。

2.应用层DDoS防护
2.1CC、HTTP Flood攻击防御
威胁情报库:通过大数据分析平台,实时汇总分析攻击日志,提取攻击特征并进行威胁等级评估,形成威胁情报库。
个性化策略配置:如请求没有命中威胁情报库中的高风险特征,则通过IP黑白名单、访问频率控制等防御攻击。
日志自学习:实时动态学习网站访问特征,建立网站的正常访问基线。
人机校验:当请求与网站正常访问基线不一致时,启动人机校验(如JS验证、META验证等)方式进行验证,拦截攻击。
2.2慢连接攻击防御
对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。
对Slow Post攻击,通过检测请求小包数量阈值进行防护。

3.合规性保障
3.1自定义防护规则
用户可以对HTTP协议字段进行组合,制定访问控制规则,支持地域、请求头、请求内容设置过滤条件,支持正则语法。
3.2网页防篡改
采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。
3.3访问日志审计
记录所有用户访问日志,对访问源进行TOP N,提供趋势分析,可以根据需要提供日志下载功能。
3.4数据防泄漏
对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。

4.HTTP流量管理
4.1支持HTTP流量管理
可以设置源IP或者特点接口访问速率,对超过速率的访问进行排队处理,减缓服务器压力。
4.2请求头管理
可以根据业务需要对请求头和响应头进行处理,可进行请求头替换或者敏感信息隐藏设置。

5.安全可视化
5.1四大安全分析报表
默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表,满足业务汇报和趋势分析需求。
5.2实时数据统计
提供基于均值和峰值带宽统计信息,提供攻击带宽和正常占比,随时关注业务状况。提供多种组件,了解业务监控和核心指标变化情况。
5.3全量日志处理
提供全量日志查询和下载功能,可以通过OpenAPI接口获取实时日志或离线日志信息。
图片.png

相关文章
|
7月前
|
Shell Linux 网络安全
linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
221 0
|
云安全 安全 网络安全
80和443端口的作用以及遇到CC攻击该怎么办
80和443端口都是用于网站业务,那么这两个端口是有什么区别呢?
|
云安全 缓存 监控
什么是CC攻击,有什么办法防御CC攻击
CC攻击的前身是一个名为Fatboy的攻击程序,而之所以后来人们会称之为CC,是因为DDoS攻击发展的初期阶段,绝大部分DDoS攻击都能被业界熟知的“黑洞”(Collapsar,一种安全防护产品)所抵挡,CC攻击的诞生就是为了直面挑战黑洞,所以Challenge Collapsar(挑战黑洞).
什么是CC攻击,有什么办法防御CC攻击
|
6月前
|
云安全 安全 BI
CC攻击该怎么防护更好
随着互联网发展,CC攻击成为严峻的网络安全问题。这种DDoS攻击通过操纵大量主机,向目标服务器发送大量请求,导致服务器资源耗尽。应对CC攻击,可以采取以下策略:部署高防IP或SCDN服务,限制请求频率,以及使用验证码验证。德迅云安全提供一站式安全加速解决方案,包括Web应用防火墙、CDN加速和抗DDoS防护,利用AI检测、智能语义解析等技术,有效防御各种网络攻击,同时保证网站内容的快速稳定访问。通过实时数据统计和安全可视化工具,便于监控和应对安全威胁。综合运用这些方法能有效降低CC攻击影响,保障Web应用程序的安全稳定运行。
|
3月前
|
云安全 SQL 安全
揭秘DDoS与CC攻击的异同与防御策略!
本文详细解析了CC攻击与DDoS攻击这两种常见网络威胁,探讨了它们的异同及防御策略。通过一个网站遭遇攻击的真实案例,揭示了CC攻击的隐蔽性和DDoS攻击的强大破坏力。文章还介绍了德迅云的高防服务器解决方案,强调了加强网络安全意识和技术防护的重要性,帮助网站运营者有效抵御网络攻击,确保业务稳定运行。
|
4月前
|
云安全 负载均衡 安全
CC攻击和DDoS攻击
【8月更文挑战第17天】
121 4
|
5月前
|
应用服务中间件 网络安全 nginx
Nginx简易防CC策略规则
Nginx简易防CC策略规则
62 1
|
6月前
|
存储 缓存 负载均衡
CC攻击解析与防御策略
CC攻击是DDoS的一种,利用代理服务器向目标发送大量合法请求,消耗服务器资源。识别特征包括命令行大量"SYN_RECEIVED"连接、IP批量异常连接和日志中异常访问模式。防御策略包括提升服务器性能、数据缓存优化、页面静态化、请求速率限制、IP访问限制及使用CDN。专业高防产品提供智能识别和响应,帮助企业构建全面防御体系。
374 2
|
7月前
|
域名解析 安全 网络安全
全面了解CC攻击和防范策略
CC攻击是一种针对Web服务的攻击,模仿正常用户请求耗尽服务器资源。攻击类型包括直接、肉鸡、僵尸和代理攻击。目标包括网站、API、登录页面、基础设施组件、云服务、金融机构等。影响包括服务中断、性能下降、经济损失、品牌受损及法律问题。判断CC攻击可通过观察CPU上升、网站响应慢或检查系统日志。防护措施包括IP封禁、人机验证、使用安全加速服务、静态化页面、更改端口、完善日志和域名解析策略。CC与DDoS攻击主要区别在于攻击原理、对象、危害、门槛和所需流量。综合运用多种防御策略能有效抵御CC攻击。
|
6月前
|
JavaScript Ubuntu 应用服务中间件
nginx扩展 OpenResty 实现防cc攻击教程
使用OpenResty实现CC攻击防护,包括两个主要步骤:限制请求速度和JS验证。首先,安装依赖(RHEL/CentOS需安装readline-devel, pcre-devel, openssl-devel,Ubuntu需安装libreadline-dev等)。然后,安装Luajit和OpenResty。在Nginx配置中,创建`lua`共享字典并设置`content_by_lua_file`调用lua脚本。lua脚本检查请求频率,超过限制则返回503,否则增加计数。同时,通过JS验证,生成随机码并重定向用户,用户需携带正确验证码请求才能访问。
167 0