Prinzip des CC-Angriffs
CC wird hauptsächlich zum Angriff auf Seiten verwendet. Jeder kennt diese Erfahrung, das heißt, wenn das Forum relativ groß ist und mehr Leute es besuchen, ist die Geschwindigkeit beim Öffnen der Seite langsamer, oder? ! Generell gilt: Je mehr Leute das Forum besuchen, desto größer ist die Datenbank, desto höher ist die Besuchshäufigkeit und die beanspruchten Systemressourcen sind beträchtlich. Jetzt weiß ich, warum viele Weltraumdienstleister sagen, dass Sie das tun sollten Warten wir nicht, bis der Chatraum
viele Serverressourcen benötigt. Er kann jedoch direkt aus dem Speicher gelesen und an Sie gesendet werden um es in der Datenbank zu beurteilen. Wenn ja, lesen Sie den Inhalt des Beitrags und zeigen Sie ihn an. Wenn die Datenbank 200 MB groß ist, ist dies der Fall Wie viel CPU-Ressourcen und wie viel Zeit wird für die Suche nach einem Schlüsselwort benötigt, da die vorherige Suche auf einen kleinen Bereich beschränkt werden kann?
Beispielsweise überprüfen die Benutzerberechtigungen nur die Benutzertabelle und den Beitragsinhalt. Wenn Sie sie finden, können Sie die Abfrage sofort stoppen. Die Suche wird definitivalle
Daten einmal beurteilen, was viel Zeit in Anspruch nimmt
nutzt diese Funktion voll aus, um zu simulieren, dass mehrere Benutzer (wie viele Threads wie viele Benutzer) ständig darauf zugreifen (auf Seiten zugreifen, die viele Datenvorgänge erfordern, also viel CPU-Zeit).
Angriffsphänomen:
Der Datenverkehr der Der Server kann in einem Augenblick mehr als zehn M erreichen und die Website kann nicht geöffnet werden. Starten Sie iis neu und Sie werden feststellen, dass der Datenverkehr sofort zurückgeht. Wenn Sie sich die IIS-Protokolle ansehen, werden Sie feststellen, dass viele verschiedene IPs wiederholt auf dieselbe Datei zugreifen. Überprüfen Sie C:WINDOWSsystem32LogFilesHTTPERR und Sie werden viele IIS-Fehlerprotokolle finden, wie folgt:
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool2 1
22.08.2007 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
22.08.2007 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
22.08.2007 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
22.08.2007 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
22.08.2007 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
...
Es ist zu erkennen, dass viele verschiedene IPs auf die Datei list.asp zugreifen. Die oben genannten Phänomene sind die Merkmale von CC-Angriffen. Abhängig von der Anzahl der Fleischmaschinen, die zum Starten von CC-Angriffen verwendet werden, können kleine Angriffe dazu führen, dass die Website langsam oder instabil wird, und große Angriffe können dazu führen, dass die Website nicht ständig geöffnet werden kann.
Denn diese Art von Angriff simuliert, dass normale Benutzer kontinuierlich eine Webseite anfordern. Daher ist es schwierig, sich gegen gewöhnliche Firewalls zu verteidigen. Im Folgenden werden wir auf der Grundlage tatsächlicher Berufserfahrung darüber sprechen, wie dieses Angriffsproblem ohne Verwendung einer Firewall gelöst werden kann.
Da CC-Angriffe Fleischmaschinen oder Proxys verwenden, um auf unsere Server zuzugreifen, unterscheiden sie sich von Synflood-Angriffen. synfoold war schon immer eine sich ständig ändernde gefälschte IP, während die bei CC-Angriffen verwendeten IPs alle echte IPs sind und sich grundsätzlich nicht ändern. Solange wir Sicherheitsrichtlinien verwenden, um alle diese IPs zu blockieren, wird es in Ordnung sein.
Ich habe die von einigen Internetnutzern eingeführte Methode gesehen, aber es handelt sich nur um eine manuelle Blockierung nacheinander, und die Angriffs-IP besteht normalerweise aus Tausenden verschiedener IPs. Es ist zu mühsam, IP manuell zu blockieren. Als nächstes verwenden wir ein Programm, um diese IPs automatisch zu blockieren!
Das Programm liest hauptsächlich das IIS-Protokoll dieser Website, analysiert die IP-Adresse und blockiert sie automatisch mithilfe von Sicherheitsrichtlinien. Der VBS-Code lautet wie folgt:
'Code startet
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'Achten Sie darauf, den Protokollpfad der angegriffenen Website anzugeben.
anhand des Fehlerprotokolls
herausfinden, welche Website angegriffen wird: C:WINDOWSsystem32LogFilesHTTPERR.“
writelog „netsh ipsec static add Policy name=XBLUE“
writelog „netsh ipsec static add filterlist name=denyip“
overip="“
f_name=Protokolldateipfad
„Protokolldatei angeben
“: Extrahieren Sie die IP in Protokolldateien in das für IPSec erforderliche Filterformat und importieren Sie sie zum Filtern in IPSec. Geeignet für Situationen, in denen eine Website einer großen Anzahl von CC-Angriffen ausgesetzt ist.
' von China Webmaster Data Center http://www.ixzz.com Chinas größter virtueller Hosting-Dienstleister, 12G-Allzweckraum für 350 Yuan!
'2007-5-12
„Dieses Programm ist ein Original dieser Website. Wenn Sie es zitieren möchten, behalten Sie bitte unsere URL bei.“
set fileobj88=CreateObject("Scripting.FileSystemObject")
Setze MYFILE=fileobj88.OpenTextFile(f_name,1,false)
contentover=MYFILE.ReadAll()
contentip=lcase(contentover)
MYFILE.close
setze fileobj88=nichts
Bei Fehler als nächstes fortfahren
myline=split(contentip,chr(13))
für i=0 bis ubound(myline)-1
myline2=split(myline(i)," ")
newip=myline2(6)
'Geben Sie eine separate Identifikationszeichenfolge an!
if instr(overip,newip)=0 then 'Duplikate IPs entfernen.
overip=overip&newip
dsafasf=split(newip,".")
wenn ubound(dsafasf)=3 dann
writelog „netsh ipsec static add filter filterlist=denyip srcaddr="&newip&" dstaddr=Me
dstport=80 Protocol=TCP“
Ende wenn
anders
wscript.echo newip &" ist beendet!"
Ende wenn
nächste
writelog „netsh ipsec static add filteraction name=denyact action=block“
writelog „netsh ipsec static add Rule name=kill3389 Policy=XBLUE filterlist=denyip
filteraction=denyact“
writelog „Netsh IPSec Static Set Policy Name=XBLUE Assign=y“
Sub writelog(errmes) 'Exportieren Sie die IPsec-Richtliniendatei in eine Bat-Datei.
ipfilename="denyerrorip.bat"
Setze logfile=fileobj.opentextfile(ipfilename,8,true)
logfile.writeline Fehler
logfile.close
Setzen Sie logfile=nothing
End Sub
'Speichern Sie am Ende des Codes
den obigen Code als .vbs-Datei und legen Sie den Pfad des Protokolls fest. Zum Ausführen einfach doppelklicken. Nach dem Ausführen wird die Datei „denyerrorip.bat“ generiert.
Nach dem Ausführen kann das CC-Angriffsproblem gelöst werden.