مبدأ هجوم CC
يستخدم CC بشكل أساسي لمهاجمة الصفحات. كل شخص لديه هذه التجربة. أي أنه عند زيارة المنتدى، إذا كان المنتدى كبيرًا نسبيًا وكان هناك عدد أكبر من الأشخاص الذين يزورونه، فستكون سرعة فتح الصفحة أبطأ، أليس كذلك؟ بشكل عام، كلما زاد عدد الزيارات، زاد عدد الصفحات في المنتدى، وكلما كانت قاعدة البيانات أكبر، زاد تكرار الزيارات، وأصبحت موارد النظام كبيرة. الآن أعرف لماذا يقول العديد من مقدمي خدمات الفضاء أنه يجب عليك ذلك لا تقم بتحميل المنتديات، دعنا ننتظر غرفة الدردشة،
فالصفحة الثابتة لا تتطلب الكثير من موارد الخادم، بل يمكن قراءتها مباشرة من الذاكرة وإرسالها إليك، لكن الأمر مختلف عندما أقرأ منشورًا للحكم عليه في قاعدة البيانات. هل لدي إذن لقراءة المنشور؟ إذا كان الأمر كذلك، فاقرأ المحتوى الموجود في المنشور واعرضه - تم الوصول إلى قاعدة البيانات مرتين على الأقل إذا كان حجم قاعدة البيانات 200 ميجا بايت، فهذا يعني أن النظام من المحتمل أن يتم تخزين 200 ميجابايت من البيانات، ما مقدار موارد وحدة المعالجة المركزية والوقت الذي يستغرقه البحث في المساحة؟ إذا كنت أبحث عن كلمة رئيسية، فسيكون الوقت أكبر، لأن البحث السابق يمكن أن يقتصر على نطاق صغير، على سبيل المثال، تحقق أذونات المستخدم فقط من جدول المستخدم ومحتوى النشر. ما عليك سوى التحقق من جدول النشر، ويمكنك إيقاف الاستعلام على الفور عندما تجده، وسيحكم البحث بالتأكيد على جميع البيانات مرة واحدة، مما يستهلك الكثير من
الوقت يستفيد بشكل كامل من هذه الميزة لمحاكاة العديد من المستخدمين (عدد المواضيع، عدد المستخدمين) الذين يصلون باستمرار (الوصول إلى الصفحات التي تتطلب الكثير من عمليات البيانات، أي الكثير من وقت وحدة المعالجة المركزية).
ظاهرة الهجوم:
حركة المرور يمكن أن يصل الخادم إلى أكثر من عشرات M في لحظة، ولا يمكن فتح الموقع. أعد تشغيل iis وستجد أن حركة المرور ستنخفض على الفور. وبالنظر إلى سجلات IIS، ستجد أن العديد من عناوين IP المختلفة تصل إلى نفس الملف بشكل متكرر. تحقق من C:WINDOWSsystem32LogFilesHTTPERR وستجد العديد من سجلات IIS للأخطاء، كما يلي:
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?
Pool21
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimitpool21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimitpool21
...
يمكن ملاحظة أن العديد من عناوين IP المختلفة تصل إلى ملف list.asp. الظواهر المذكورة أعلاه هي خصائص هجمات CC. اعتمادًا على عدد ماكينات اللحوم المستخدمة لشن هجمات CC، يمكن أن تتسبب الهجمات الصغيرة في بطء موقع الويب أو عدم استقراره، وقد تؤدي الهجمات الكبيرة إلى عدم إمكانية فتح موقع الويب طوال الوقت.
لأن هذا النوع من الهجوم يحاكي قيام المستخدمين العاديين بطلب صفحة ويب بشكل مستمر. ولذلك، فمن الصعب الدفاع ضد جدران الحماية العادية. أدناه، واستنادًا إلى خبرة العمل الفعلية، سنتحدث عن كيفية حل مشكلة الهجوم هذه دون استخدام جدار الحماية.
نظرًا لأن هجمات CC تستخدم آلات اللحوم أو الوكلاء للوصول إلى خوادمنا، فهي تختلف عن هجمات Synflood. لقد كان Synfoold دائمًا عنوان IP مزيفًا يتغير باستمرار، في حين أن عناوين IP المستخدمة في هجمات CC هي عناوين IP حقيقية ولا تتغير بشكل أساسي طالما أننا نستخدم سياسات الأمان لحظر كل عناوين IP هذه، فسيكون الأمر على ما يرام.
لقد رأيت الطريقة التي قدمها بعض مستخدمي الإنترنت، ولكنها مجرد كتلة يدوية واحدة تلو الأخرى، وعادة ما يكون عنوان IP للهجوم هو آلاف عناوين IP المختلفة. يعد حظر IP يدويًا أمرًا مزعجًا للغاية. بعد ذلك نستخدم برنامجًا لحظر عناوين IP هذه تلقائيًا!
يقرأ البرنامج بشكل أساسي سجل IIS لهذا الموقع، ويحلل عنوان IP، ويحظره تلقائيًا باستخدام سياسات الأمان. رمز VBS كما يلي:
'يبدأ الكود
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'انتبه إلى تحديد مسار السجل لموقع الويب الذي تمت مهاجمته.
إذا كان مضيفًا افتراضيًا، لمعرفة موقع الويب الذي يتعرض للهجوم، يمكنك التحقق من: C:WINDOWSsystem32LogFilesHTTPERR،
ومن السهل تحليله وفقًا لسجل الأخطاء.
سجل الكتابة "اسم سياسة إضافة netsh ipsec الثابت = XBLUE"
سجل الكتابة "netsh ipsec ثابت إضافة اسم قائمة التصفية = رفض IP"
overip = ""
f_name=logfilepath
"تحديد ملف السجل
": استخراج عنوان IP الموجود في ملفات السجل إلى تنسيق التصفية المطلوب بواسطة ipsec، واستيراده إلى ipsec للتصفية. مناسب للحالات التي يتعرض فيها موقع الويب لعدد كبير من هجمات CC.
' بواسطة مركز بيانات مشرفي المواقع الصيني http://www.ixzz.com أكبر مزود خدمة استضافة افتراضية في الصين، مساحة 12 جيجا متعددة الأغراض مقابل 350 يوان!
'2007-5-12
'هذا البرنامج أصلي لهذا الموقع، إذا كنت ترغب في الاقتباس منه، يرجى الاحتفاظ بعنوان URL الخاص بنا.
تعيين fileobj88=CreateObject("Scripting.FileSystemObject")
تعيين MYFILE=fileobj88.OpenTextFile(f_name,1,false)
contentover=MYFILE.ReadAll()
contentip=lcase(contentover)
MYFILE.إغلاق
تعيين fileobj88=لا شيء
على خطأ استئناف المقبل
مايلين = سبليت (contentip، مركز حقوق الإنسان (13))
لـ i=0 إلى ubound(myline)-1
myline2=split(myline(i)," ")
نيويب=myline2(6)
'حدد سلسلة تعريف منفصلة!
إذا instr(overip,newip)=0 ثم "إزالة عناوين IP المكررة."
overip=overip&newip
dsafasf=split(newip,".")
إذا ubound(dsafasf)=3 إذن
writelog "netsh ipsec ثابت إضافة عامل تصفية قائمة التصفية = Denyip srcaddr = "&newip &" dstaddr = Me
dstport = بروتوكول 80 = TCP"
نهاية إذا
آخر
wscript.echo newip &"يخرج!"
نهاية إذا
التالي
سجل الكتابة "netsh ipsec static add filteraction name=denyact action=block"
writelog "اسم قاعدة إضافة netsh ipsec الثابت = سياسة kill3389 = قائمة مرشحات XBLUE =
عامل تصفية denyip = denyact"
سجل الكتابة "اسم سياسة مجموعة netsh ipsec الثابتة = تعيين XBLUE = y"
Sub writelog(errmes) 'قم بتصدير ملف سياسة IPsec إلى ملف بات.
ipfilename = "denyerrorip.bat"
تعيين ملف السجل=fileobj.opentextfile(ipfilename,8,true)
أخطاء logfile.writeline
ملف السجل.إغلاق
تعيين ملف السجل = لا شيء
End Sub
'في نهاية الكود،
احفظ الكود أعلاه كملف .vbs وقم بتعيين مسار السجل. فقط انقر نقرًا مزدوجًا للتشغيل. بعد التشغيل، سيتم إنشاء ملف Denerrorip.bat. هذا هو ملف السياسة المطلوب بواسطة ipsec. فقط انقر نقرًا مزدوجًا للتشغيل.
بعد التشغيل، يمكن حل مشكلة هجوم CC.