在当前网络现状下,随着信息技术的飞速发展,网络攻击手段也愈发多样化和复杂化。其中,CC攻击作为一种针对Web应用层的拒绝服务攻击,其危害日益凸显,对企业和个人造成了严重的威胁。下面我们就从多个角度详细分享关于CC攻击的详情,了解下什么是CC攻击,该怎么做防护才能避免WEB服务器被CC攻击。
一、CC攻击概述
CC攻击(Challenge Collapsar Attack)是一种基于Web应用层的拒绝服务攻击(DoS/DDoS)。与传统的网络层攻击(如IP洪水、UDP洪水)不同,CC攻击主要利用大量合法的请求来占用服务器资源,导致服务器无法处理正常的用户请求,从而达到攻击的目的。
其原理主要是基于HTTP协议,攻击者通过控制大量的代理服务器或僵尸网络,向目标服务器发送大量的看似合法的HTTP请求。这些请求往往包含大量的Cookie信息或特殊的HTTP头部,以模拟真实用户的访问行为。由于这些请求在格式上符合HTTP协议,因此很难被常规的防火墙或入侵检测系统所识别和过滤。
当大量的合法请求涌向目标服务器时,服务器需要消耗大量的CPU和内存资源来处理这些请求。随着请求数量的不断增加,服务器的处理能力逐渐饱和,最终导致正常用户的请求无法得到及时处理,甚至服务器完全无法响应。这种资源耗尽的情况会使得目标服务器陷入瘫痪状态,无法提供正常的服务。
相比其它的DDoS攻击方式,CC攻击看起来更有技术含量一些,这种攻击见不到虚假IP,见不到特别大的异常流量,却会对正常业务造成重大影响,一条ADSL的普通用户足以挂掉一台高性能的Web服务器,因此称其为“Web杀手”毫不为过。
举个简单的例子,WEB服务器像是一个超市,而CC就像是模拟正常进超市购买的顾客,同时间大量顾客涌入超市进行购物,挤占超市位置,他们不停的挑选物品,然后不断地询问店员各种关于物品的问题,但就是不真正付款进行购买产品离开超时,这就导致真正有需求的顾客无法进入正常选购商品,影响到超市正常的业务。
二、CC攻击的危害介绍
一、服务中断与业务受损
CC攻击的核心原理在于利用大量的合法请求占用服务器资源,导致正常用户无法访问和使用服务。这种攻击方式直接影响了企业的业务运营。一旦遭受CC攻击,企业的网站或应用将陷入瘫痪状态,无法提供正常的服务。这不仅会导致业务中断,还可能造成订单丢失、客户流失等严重后果。对于依赖网络进行业务运营的企业来说,CC攻击无疑是一次重大的打击。
二、资源消耗与性能下降
CC攻击过程中,攻击者会发送大量的请求,使得目标服务器在处理这些请求时消耗大量的CPU、内存和网络资源。随着请求数量的不断增加,服务器的处理能力逐渐饱和,甚至完全崩溃。这种资源消耗和性能下降的情况会导致服务器无法响应正常用户的请求,严重影响用户体验。同时,长期的资源消耗还可能对服务器的硬件造成损害,进一步增加企业的运维成本。
三、品牌形象与声誉受损
CC攻击不仅会对企业的业务造成直接损失,还会对企业的品牌形象和声誉造成负面影响。频繁或长期的CC攻击不仅影响到业务正常运营,也会让客户对企业的专业能力产生质疑,认为企业的业务系统存在问题。这就影响到企业的形象,可能导致客户流失和市场份额下降。
以下是一些更详细的CC攻击例子,以便更深入地理解其危害和运作方式:
案列一:热门游戏上线期间的CC攻击
某款热门游戏在上线期间,由于吸引了大量玩家,不幸成为了CC攻击的目标。攻击者利用恶意程序和网络资源,模拟众多用户的访问行为,对游戏服务器发起大量的请求。这些请求导致了游戏服务器的负载急剧上升,游戏出现了严重的卡顿现象,甚至在某些时刻完全崩溃。这不仅使得正常玩家无法流畅地进行游戏,还导致了许多玩家流失,对游戏的品牌声誉造成了极大的损害。
案列二:重要游戏竞技赛事的CC攻击
在一次重要的游戏竞技赛事中,攻击者试图通过CC攻击瘫痪比赛的服务器,以扰乱比赛进程或干扰参赛选手。攻击者利用代理服务器生成大量的合法请求,使得比赛服务器在短时间内接收到了远超其处理能力的数据。这导致了比赛服务器的性能严重下降,参赛选手无法正常进行比赛,甚至出现了比赛中断的情况。这种攻击不仅严重影响了比赛的公平性和观赏性,还损害了游戏品牌形象和粉丝的观赛体验。
案列三:电商平台的CC攻击
某大型电商平台在促销活动期间,由于流量剧增,成为了CC攻击的目标。攻击者利用代理服务器和僵尸网络,向平台服务器发送了大量的请求,试图耗尽其资源。这导致了平台服务器在处理正常用户请求时变得缓慢,许多用户无法正常浏览商品、加入购物车或完成支付。这不仅影响了用户的购物体验,还可能导致销售额的大幅下降,给电商平台带来了巨大的经济损失。
案列四:金融机构的CC攻击
一家金融机构的在线服务系统也遭受了CC攻击。攻击者通过控制大量代理服务器,向该机构的在线服务系统发送了大量的请求,试图使其陷入瘫痪状态。由于金融机构的在线服务系统涉及用户的资金交易和敏感信息,一旦遭受攻击,不仅可能导致服务中断,还可能引发用户数据的泄露和资金安全风险。这种攻击对金融机构的声誉和客户的信任造成了极大的损害。
三、如何查看是否遇到CC攻击情况?
CC攻击有一定的隐蔽性,我们可以通过下面三个方法来确定,服务器是否正在遭受CC攻击:
1、一般遭受CC攻击时,Web服务器会出现80端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了,正常的连接也就被中止了。可以通过在输入命令 netstat -an来查看,如果看到类似如下有大量显示雷同的连接记录基本就可以确定被CC攻击了。
TCP 103.36.60.1:80 、103.36.60.255: 8080 ,SYN_RECEIVED 4 …… 其中“103.36.60.1”是德迅云安全浙江BGP服务器,“SYN_RECEIVED”是TCP连接状态标志,意思是“正在处于连接的初始同步状态 ”,表明无法建立握手应答处于等待状态。这样的记录一般都会有很多条,表示来自不同的代理IP的攻击。 这就是攻击的特征。
2、通过建立一个批处理文件,通过该脚本代码确定是否存在CC攻击。打开记事本输入如下代码保存为CC.bat:
@echo off
time /t >>log.log
netstat -n -p tcp |find ":80">>Log.log
notepad log.log
exit
上面脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件,然后在打开的log.log文件中查看所有的连接。如果同一个IP同时间产生很多到服务器的连接,那就基本可以确定该IP可能是被控制的肉鸡IP正在对服务器发起CC攻击。
3、通过Web日志来查,因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以确认Web服务器的一些情况,采取进一步的措施。
Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下,该目录下用类似httperr1.log的日志文件,这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。默认情况下,Web日志记录的项并不是很多,我们可以通过IIS进行设置,让Web日志记录更多的项以便进行安全分析。
四、 面对CC攻击,我们可以有哪些措施?
基础措施:
1、取消域名绑定
一般CC攻击都是针对网站的域名进行攻击,比如我们的网站域名是“www.dexunyun.com”,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们要在IIS上取消此域名的绑定,让CC攻击失去目标。但是缺点是:取消或者更改域名对于正常用户的访问带来不便,并且如果域名要重新绑定了,若是有攻击还是一样会遭受到攻击。
2、解析回环地址
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,同时实现攻击者自己攻击自己的目的,即使攻击者有很多的肉鸡或者代理也会宕机。
3、修改端口
Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。
4、添加黑名单
我们通过命令或在查看日志发现了CC攻击的源IP,可以在IIS中设置屏蔽该IP对Web站点的访问,我们可以设置授权访问加入白名单,也可以设置拒绝访问加入黑名单从而达到防范IIS攻击的目的。或者组策略封闭IP段。但是缺点是面对CC并发数比较大的时候,就起不了太大作用了。
5、访问控制
限制访问频率和并发连接数,对异常请求进行拦截和过滤,防止CC攻击者通过大量请求占用过多资源。
进阶措施:
1、部署高防服务器
选择具有智能识别和防御CC攻击功能的高防服务器,比如德迅云安全的高防服务器,带有AI智能防CC系统,自动检测CC攻击,自动开启策略拦截,能够有效过滤恶意请求,保护服务器免受攻击。
2、安全加速SCDN
安全SCDN通过大数据分析平台,实时汇总分析攻击日志,提取攻击特征并进行威胁等级评估,形成威胁情报库;
德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。
五、总结
CC攻击作为一种针对Web应用层的拒绝服务攻击,对企业的业务运营和信息安全构成了严重威胁。因此,我们需要加强安全防护意识,采取多种措施综合防范CC攻击,确保企业业务的稳定和安全运行。