服务器被攻击了?怎么判断是DDoS攻击还是CC攻击呢?
网站安全越来越受重视,被DDOS攻击、CC攻击、CDN攻击、黑客攻击等各大流量攻击怎么办找【152-1719-5017 黄小姐 可微电】DDOS高防御、DDoS防流量攻击、DDoS攻击打死包退、CC防护、防御CC攻击、高防服务器、高防大带宽服务器、国内外高防服务器、国内外高防服务器租用。
DDOS简介
DDOS又称为分布式拒绝服务攻击,全称是Distributed Denial os Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场总共有100个车位,当100个车位都停满车后,再有车想要停进来,就必须等已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排起长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。
我们的系统就好比是停车场,系统中的资源就是车位。资源是有限的,而服务必须一直提供下去。如果资源都已经被占用了,那么服务也将过载,导致系统停止新的响应。
分布式拒绝服务攻击,将正常请求放大了若干倍,通过若干网络节点同时发起攻击,以达成规模响应。这些网络节点往往是黑客们所控制的“肉鸡”,数量达到一定规模后,就形成了一个“僵尸网络”。大型的僵尸网络,甚至达到了数万、数十万台的规模。如此规模的僵尸网络发起的DDOS攻击,几乎是不可阻挡的。
常见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。其中SYN flood是一种最为经典的DDOS攻击,其发现于1996年,但是至今仍然保持着非常强大的生命力。SYN flood如此猖獗是因为它利用了TCP协议设计中的缺陷,而TCP/IP协议是整个互联网的基础,牵一发而动全身,如今想要修复这样的缺陷几乎成为不可能的事情。
DDos攻击原理
TCP是提供可靠的、端到端的字节流通讯协议。
在TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。
1.SYN Flood:利用TCP协议的原理,这种攻击方法是非常经典的DDOS方法。主要是通过受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存组员被耗尽或忙于发送回应包而造成拒绝服务。TCP三次握手
2.慢速攻击:Http协议中规定,HTTPRequest以\r\n\r\n结尾表示客户端发送成功。攻击者打开一个Http1.1的连接,将Connection设置为keep-Alive,然后保持与服务器的TCP偿连接。始终不打送\r\n\r\b,每隔几分钟写入一些无意义的数据流,拖死机器。
3.客户端发送一个包含SYN标志的TCP报文,同步报文指明客户端所需要的款口号和TCP连接的初始化序列号
4.服务器收到SYN报文之后,返回一个SYN+ACK报文,表示客户端被接受,TCP初始序列号+1
5.客户端也返回一个确认报文ACK给服务器,同样TCP序列号+1
6.如果服务器端没有收到客户端的确认报文ACK,则处于等待状态,将客户IP加入等待队列,然后轮训发送SYN+ACK报文
所以攻击者可以通过伪造大量的TCP握手请求,耗尽服务器端的资源
应用层DDOS
应用层DDOS,不同于网络层DDOS,由于发生在应用层,因此TCP三次握手已经完成,连接已经建立,所以发起攻击的IP地址也都是真实的。但应用层DDOS有时甚至比网络层DDOS攻击更为可怕,因为今天几乎所有的商业Anti-DDOS设备,只在对抗网络层DDOS时效果好,而对应用层DDOS攻击却缺乏有效的对抗手段。
那么应用层DDOS到底是怎么一回事呢?这就要从“CC攻击”说起了。
CC攻击
DDoS攻击中的CC攻击。CC攻击又可以分为代理CC攻击和肉鸡CC攻击。
(1)代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DDoS和伪装
(2)肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。
CC(challenge Collapsar,挑战黑洞),其前身名为Fatboy攻击,原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
防御方式:
(1)取消域名绑定
(2)更改web端口
(3)ⅡS屏蔽IP
(4) IPSec封锁
(5)防火墙
CC的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有SQL注入,不光是一个入侵工具,更是一个DDOS缺口,大家都应该在代码中注意。举个例子吧,某服务器,开动了5000线的CC攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在Session里面,全是静态页面,没有效果。突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。代码层的防御需要从点点滴滴做起,一个脚本代码的错误,可能带来的是整个站的影响,甚至是整个服务器的影响!
