监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 2435|回复: 8
打印 上一主题 下一主题

Web服务器如何避免CC攻击

[复制链接]
跳转到指定楼层
1
发表于 2011-3-18 18:09:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
CC攻击比DDOS攻击更可怕的就是,CC攻击一般是硬防很难防止住的。为什么呢?一、因为CC攻击来的IP都是真实的,分散的;二、CC攻击的数据包都是正常的数据包;三、CC攻击的请求,全都是有效的请求,无法拒绝的请求。

1、攻击原理

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

2、攻击症状

CC攻击有一定的隐蔽性,那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定。

(1).命令行法

一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat -an来查看,如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了:

……   
TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4   
TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4   
TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4   
TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4  
TCP 192.168.1.3:80 192.168.1.6:2203 SYN_RECEIVED 4
……

其中“192.168.1.6”就是被用来代理攻击的主机的IP,“SYN_RECEIVED”是TCP连接状态标志,意思是“正在处于连接的初始同步状态 ”,表明无法建立握手应答处于等待状态。这就是攻击的特征,一般情况下这样的记录一般都会有很多条,表示来自不同的代理IP的攻击。

(2).批处理法

上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲,我们可以建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat:

@echo off  
time /t >>log.log   
netstat -n -p tcp |find ":80">>Log.log   
notepad log.log   
exit

上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件,然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接,那就基本可以确定该IP正在对服务器进行CC攻击。

(3).查看系统日志

上面的两种方法有个弊端,只可以查看当前的CC攻击,对于确定Web服务器之前是否遭受CC攻击就无能为力了,此时我们可以通过Web日志来查,因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击,并确定攻击者的IP然后采取进一步的措施。

Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。

默认情况下,Web日志记录的项并不是很多,我们可以通过IIS进行设置,让Web日志记录更多的项以便进行安全分析。其操作步骤是:

“开始→管理工具”打开“Internet信息服务器”,展开左侧的项定位到到相应的Web站点,然后右键点击选择“属性”打开站点属性窗口,在“网站”选项卡下点击“属性”按钮,在“日志记录属性”窗口的“高级”选项卡下可以勾选相应的“扩展属性”,以便让Web日志进行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的,但在记录判断CC攻击中是非常有用的,可以勾选。

另外,如果你对安全的要求比较高,可以在“常规”选项卡下对“新日志计划”进行设置,让其“每小时”或者“每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间”。

CC攻击的严重性希望大家能够引起注意,多多提高防范意识。
我分享,我成长!系统集成 XTJC.COM

0

主题

4

帖子

4

积分

版主

2
发表于 2011-3-21 10:13:43 | 只看该作者
华为金牌代理
不错的帖子,为什么无人顶呢,这个版块有点冷清哦

CC攻击比DDOS更具侵略性啊
知耻近乎勇
卧薪尝胆
破釜沉舟

35

主题

552

帖子

963

积分

正式员工

3
发表于 2011-3-27 22:00:22 | 只看该作者
华为金牌代理
好贴啊,顶起

8

主题

272

帖子

324

积分

正式员工

4
发表于 2011-3-28 09:53:40 | 只看该作者
又学了点,多谢

0

主题

36

帖子

38

积分

实习生

5
发表于 2011-4-15 11:13:42 | 只看该作者
受用了

0

主题

7

帖子

35

积分

实习生

6
发表于 2011-4-22 16:15:09 | 只看该作者
回复 1# 思考的牛

0

主题

7

帖子

35

积分

实习生

7
发表于 2011-4-22 16:17:20 | 只看该作者
CC攻击是DDOS攻击中的一种,DDOS攻击一类为了达到服务器拒绝服务目地的攻击的统称

0

主题

7

帖子

35

积分

实习生

8
发表于 2011-4-22 17:19:18 | 只看该作者
挺有用的,又学会了一点

0

主题

3

帖子

25

积分

实习生

9
发表于 2011-4-26 16:21:45 | 只看该作者
如果大量的CC攻击呢。或者有大量的SQL入侵呢,不可能网管人员一直在,服务器前盯着吧。我现在就做WEB防火墙的,说实在的如果有CC攻击,小量的防火墙和WEB服务器自己就能抗的住,但是针对那些有利益的呢。他们会用大量的僵尸机来做跳板,一起攻击。这样防火墙他主要是针对入侵防护的,针对WEB站点安全保护很少。现在针对WEB的还是主页被篡改的比较多,连政府的网站都被篡改,这个就是现在这个金钱社会带来的危害。尤其是现在互联网极度发达的社会中,B2C网站很多,团购的网站也很多。WEB2.0向3.0发展,因为我是做WEB防火墙的,所以对市场也做过调查。今年WEB安全一定会有很大的市场,如果有想了解WEB防火墙的可以找我。对WEB网站防护攻击的的也可以,虽然懂的不是很多,希望可以帮到大家。QQ:1085919666
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-19 05:33 , Processed in 0.088888 second(s), 28 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表