数十万网站被利用发起CC攻击

简介: ——论pingback之卷土重来 云盾WAF团队

e59dfbeaf3652712b51fcd7d92a2b62ab91dc513

近日,阿里云云盾安全团队协助处理了多例金融证券直播行业的客户的网站攻击事件。有专业的攻击团伙,针对网上的金融证券直播类网站业务发起集中的网络攻击、意在破坏网站的正常运营,进而勒索钱财。云盾安全专家经过分析攻击、采用对应安全策略,最终成功的保障了网站业务正常平稳。

在安全专家的分析过程中,发现了一种经久不衰的反射CC攻击手法的身影。这是种什么攻击?攻击特点是什么?我们该如何应对类似的这种攻击呢?这里为您一一道来。

一、Pingback ,让数十万网站服务器成为了帮凶 

众所周知,WordPress是一种非常流行的博客平台,公网上有千百万网站均是基于此搭建。Pingback是其用来通知网站系统文章被引用的一种手段,一个简单的POST请求就可以让它把包含引用的链接和引用页面地址的内容发送给一个被引用的站点或博客。当WordPress收到一个pingback请求时,它会自动回复一个响应给请求来源的页面去确认这个链接是否真实存在。利用这个机制,恶意攻击者就可以指定受害者的地址,构造包含真实链接的pingback请求,通过“反弹”来打到CC攻击的目的。这种请求非常容易构造,一个curl命令就足够了,所以只要手上掌握了一定数量的Wordpress站点,就特别容易批量发动攻击。

二、攻击者特点:海量、真实、分散、慢速

从上面攻击的原理不难看出,一旦攻击者控制利用了数十万这种类型的服务器集中时间统一对您网站发起攻击,其特点“海量真实源IP、IP地址分散、访问频率控制在较低速率”,将使得传统的安全防护手段如单IP频率限速、cookie验证等在这种攻击面前无可奈何。

三、攻击致命弱点:攻击特征固定、不可伪造

看到这,您或许已经在默默祈祷:这种事千万别发生在我这才好。其实也不用过于忧虑,虽然这种变种的攻击乍一看来势汹汹,悄悄告诉你:它也有一个致命弱点,那就是从肉鸡发过来的攻击请求有部分特征是固定的、并且不能被攻击者伪造的。

这个东西就是User-Agent.它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。而这种pingbck反弹攻击的致命弱点就是请求中的User-Agent必然包含pingback等关键词。这是由WordPress本身决定的,恶意利用者也不能进行伪造篡改。

四、如何发现并应对类似攻击?

既然上面我们掌握了这种攻击的特点,那么检测防护的应对之策也就手到拈来了。

1)看

以Nginx为例,当发现网站异常,CPU、内存、数据库等性能飙升时,先看看网站的访问日志:

cat /var/log/nginx/access.log | grep "verifying pingback from" > pingback_attack.log

一旦发现有大量此类日志,毫无疑问,你中招了。

2)配

打开网站的Nginx配置文件,找到server定义的部分(/etc/nginx/nginx.conf,或/etc/nginx/sites-enabled/your-site等,具体路径根据具体的Nginx和Linux版本来定),添加以下if声明到server定义的某个地方(大小写敏感):

if ($http_user_agent ~ (WordPress|pingback) {

        return 403;
}

并且需要将Nginx reload。

3)验

配置完后,可以用curl或者wget命令,带上特定的UA去测试一下,如果能收到403的响应,说明配置成功了。

OK,现在你的服务器已经能够拦截这类攻击了。但是值得注意的是:即使以上种种都做了,也仅仅只能,因为攻击请求在达到网站服务器后,即使你第一时间处理掉,也仅能减轻对消耗服务器的性能。当这种攻击是海量的情况下,足以达到网站服务器的上限瓶颈,同样会导致网站瘫痪。换句话说,您必须得有足够多的服务器资源能帮助。这种情况下,或许云上的弹性安全防护模式更适合您。

云盾Web应用防火墙一直致力于为客户提供网站安全防护的解决方案,针对各类Web应用攻击、CC变种攻击、撞库、爬刷接口等均有完善的防护策略。在面对海量CC攻击上,云防护模式下的弹性安全计算资源能够帮助您从容应对,保障异常、攻击请求在到达网站的服务器之前就被扼杀干净。您只需配置一条简单的User-Agent访问控制即可100%过滤恶意请求.

 除此之外,Web应用防火墙提供的访问控制策略,通过组合配置,能够防护更多关于资源被恶意盗用、管理登录加固,恶意爬虫、暗链CC变种等多种攻击。欢迎咨询我们:

ab9428114daca2105c6f345bbb857144b8679ad3
   
关注我们,阿里云云盾会与大家分享更多安全的相关知识。


目录
相关文章
|
7月前
|
Shell Linux 网络安全
linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
221 0
|
6月前
|
云安全 安全 BI
CC攻击该怎么防护更好
随着互联网发展,CC攻击成为严峻的网络安全问题。这种DDoS攻击通过操纵大量主机,向目标服务器发送大量请求,导致服务器资源耗尽。应对CC攻击,可以采取以下策略:部署高防IP或SCDN服务,限制请求频率,以及使用验证码验证。德迅云安全提供一站式安全加速解决方案,包括Web应用防火墙、CDN加速和抗DDoS防护,利用AI检测、智能语义解析等技术,有效防御各种网络攻击,同时保证网站内容的快速稳定访问。通过实时数据统计和安全可视化工具,便于监控和应对安全威胁。综合运用这些方法能有效降低CC攻击影响,保障Web应用程序的安全稳定运行。
|
4月前
|
云安全 负载均衡 安全
CC攻击和DDoS攻击
【8月更文挑战第17天】
121 4
|
6月前
|
存储 缓存 负载均衡
CC攻击解析与防御策略
CC攻击是DDoS的一种,利用代理服务器向目标发送大量合法请求,消耗服务器资源。识别特征包括命令行大量"SYN_RECEIVED"连接、IP批量异常连接和日志中异常访问模式。防御策略包括提升服务器性能、数据缓存优化、页面静态化、请求速率限制、IP访问限制及使用CDN。专业高防产品提供智能识别和响应,帮助企业构建全面防御体系。
374 2
|
7月前
|
域名解析 安全 网络安全
全面了解CC攻击和防范策略
CC攻击是一种针对Web服务的攻击,模仿正常用户请求耗尽服务器资源。攻击类型包括直接、肉鸡、僵尸和代理攻击。目标包括网站、API、登录页面、基础设施组件、云服务、金融机构等。影响包括服务中断、性能下降、经济损失、品牌受损及法律问题。判断CC攻击可通过观察CPU上升、网站响应慢或检查系统日志。防护措施包括IP封禁、人机验证、使用安全加速服务、静态化页面、更改端口、完善日志和域名解析策略。CC与DDoS攻击主要区别在于攻击原理、对象、危害、门槛和所需流量。综合运用多种防御策略能有效抵御CC攻击。
|
6月前
|
JavaScript Ubuntu 应用服务中间件
nginx扩展 OpenResty 实现防cc攻击教程
使用OpenResty实现CC攻击防护,包括两个主要步骤:限制请求速度和JS验证。首先,安装依赖(RHEL/CentOS需安装readline-devel, pcre-devel, openssl-devel,Ubuntu需安装libreadline-dev等)。然后,安装Luajit和OpenResty。在Nginx配置中,创建`lua`共享字典并设置`content_by_lua_file`调用lua脚本。lua脚本检查请求频率,超过限制则返回503,否则增加计数。同时,通过JS验证,生成随机码并重定向用户,用户需携带正确验证码请求才能访问。
167 0
|
7月前
|
缓存 负载均衡 安全
每天一技:全面了解CC攻击和防范策略
CC攻击是一种模拟真实用户请求,导致服务器资源耗尽的网络攻击。攻击者利用工具生成木马,控制大量“肉鸡”对目标网站发起恶意请求,使服务器CPU过载,网站无法正常服务。特点是请求有效、IP分散、数据包真实、针对网页。常见类型包括直接攻击、肉鸡攻击、僵尸攻击和代理攻击。判断CC攻击可通过观察CPU usage飙升和系统日志异常。大型网站如某度、Google因代码规范、硬件配置高、缓存策略、严格防火墙和负载均衡等技术能有效防御。防御措施包括IP封禁、人机验证、静态化页面、更改Web端口、日志分析等,或使用SCDN产品提供全面防护,包括Web攻击防护、DDoS防护、合规性保障、流量管理和安全可视化功能。
|
开发框架 网络协议 .NET
网站被CC攻击的症状?什么是CC攻击? 110.42.2.0 43.248.189.0
网站被CC攻击的症状?什么是CC攻击? 110.42.2.0 43.248.189.0
|
缓存 网络协议 安全
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御
940 0
|
7月前
|
安全 网络协议 网络安全
【看案例】冠赢互娱:用游戏盾解决DDoS/CC攻击
冠赢互娱凭借阿里云专为游戏行业定制的游戏盾安全防护方案,在APP端切入游戏盾,对整个传输链路进行安全处置,精准定位黑客并实现风险隔离,解决了DDoS攻击、游戏CC攻击问题。
131 0
【看案例】冠赢互娱:用游戏盾解决DDoS/CC攻击