时间2022/4/23 19点30分
事件 CC攻击
市场上CC攻击大家应该是再熟悉不过了,CC攻击的原理就是攻击者利用木马控制各种电脑,不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。
近日我司用户就受到一种变异CC攻击,该CC不像传统CC会产生大量TCP连接,如果是光查看防火墙数据也是根本查看不出任何异常,用户也是辗转多家IDC未得到解决(如图1所示),
并且被答复没有攻击并草草了事,后来客户租用我司服务器得到了完美解决。下面我们就来看下我司技术是如何处理这种变异CC攻击的。能加深大家对攻击的了解。
图一
据客户反馈被CC攻击了并且附上图(如图2所示),查看当前CPU和负载都是跑满情况的,这种情况基本上都是被CC导致的。
图二
值班技术迅速反应查看防火墙,发现连接数并不高(如图3所示),也非常稳定不像是有被CC了的痕迹。
图三
服务器上TOP查询是自身程序占用了全部CPU(如图4所示)。
图四
根据这种情况技术开始对这台服务器抓包进行分析数据包(如图5所示),发现一个IP有非常多的psh数据包,这种包是TCP三次握手成功后的传输包,不会产生大量的TCP连接。
图五
这边对这些数据包逐一进行分析,查看到这一个数据包下面都有几十组随机乱码类似帐号密码报文(如图6所示)。虽然抓包查看到只有几个IP在测试登录,但是一个IP每秒发送成百上千个随机账密,导致验证账号密码服务器无法响应那么多请求,服务器资源消耗殆尽,CPU跑高负载跑满。
图六
因为这种CC比较特殊不像传统CC那样会产生大量的TCP连接数,一般的CC防护策略对这种CC来说根本就没有任何效果,还可能会导致正常玩家被拦截,找到原因后,技术立马针对这种特殊的CC攻击的指纹特征设立了一套特殊策略,完美解决了这个CC攻击的,效果非常显著,CPU资源负载直线降低,正常人马上能登陆,达到零误封效果,客户对效果非常满意。
