Principio del ataque CC
CC se utiliza principalmente para atacar páginas. Todos tienen esta experiencia, es decir, cuando visitan un foro, si el foro es relativamente grande y hay más personas visitándolo, la velocidad de apertura de la página será más lenta, ¿verdad? ! General En términos generales, cuantas más personas visitan, más páginas tiene el foro, mayor es la base de datos, mayor es la frecuencia de las visitas y los recursos del sistema ocupados son considerables. Ahora sé por qué muchos proveedores de servicios espaciales dicen que debería hacerlo. No cargue foros. Esperemos la sala de chat.
Una página estática no requiere muchos recursos del servidor. Incluso se puede leer directamente desde la memoria y enviarla a usted. para juzgarlo en la base de datos ¿Tengo permiso para leer la publicación? Si es así, lea el contenido de la publicación y muéstrelo: se ha accedido a la base de datos al menos 2 veces. Si la base de datos tiene un tamaño de 200 MB, el sistema. Es probable que almacene los 200 MB de datos. ¿Cuántos recursos de CPU y tiempo se necesitan para buscar en el espacio? Si estoy buscando una palabra clave, el tiempo será aún más considerable, porque la búsqueda anterior se puede limitar a un rango pequeño.
porejemplo
, los permisos de usuario solo verifican la tabla de usuarios y el contenido de la publicación. Simplemente verifique la tabla de publicaciones y podrá detener la consulta inmediatamente cuando la encuentre. La búsqueda definitivamente juzgará todos los datos una vez, lo que consume mucho tiempo.
Aprovecha al máximo esta característica para simular que varios usuarios (cuántos subprocesos hay, cuántos usuarios) acceden constantemente (acceden a páginas que requieren muchas operaciones de datos, es decir, mucho tiempo de CPU).
Fenómeno de ataque:
el tráfico de la. El servidor puede alcanzar más de decenas de M en un instante y el sitio web no se puede abrir. Reinicie iis y verá que el tráfico disminuirá inmediatamente. Al observar los registros de IIS, encontrará que muchas IP diferentes acceden al mismo archivo repetidamente. Verifique C:WINDOWSsystem32LogFilesHTTPERR y encontrará muchos registros de error de IIS, como se muestra a continuación:
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?
21
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
...
Se puede ver que muchas IP diferentes están accediendo al archivo list.asp. Los fenómenos anteriores son las características de los ataques CC. Dependiendo de la cantidad de máquinas de carne utilizadas para lanzar ataques CC, los ataques pequeños pueden hacer que el sitio web sea lento o inestable, y los ataques grandes pueden hacer que el sitio web no se pueda abrir todo el tiempo.
Porque este tipo de ataque simula que usuarios normales solicitan continuamente una página web. Por tanto, es difícil defenderse de los cortafuegos habituales. A continuación, según la experiencia laboral real, hablaremos sobre cómo resolver este problema de ataque sin utilizar un firewall.
Debido a que los ataques CC utilizan máquinas de carne o servidores proxy para acceder a nuestros servidores, son diferentes de los ataques synflood. synfoold siempre ha sido una IP falsa en constante cambio, mientras que las IP utilizadas en los ataques CC son todas IP reales y básicamente no cambian. Siempre que usemos políticas de seguridad para bloquear todas estas IP, todo estará bien.
He visto el método introducido por algunos internautas, pero es solo un bloqueo manual uno por uno, y la IP de ataque suele ser miles de IP diferentes. Es demasiado problemático bloquear la IP manualmente. ¡A continuación usamos un programa para bloquear automáticamente estas IP!
El programa lee principalmente el registro IIS de este sitio web, analiza la dirección IP y la bloquea automáticamente mediante políticas de seguridad. El código VBS es el siguiente:
'El código comienza
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'Preste atención a especificar la ruta de registro del sitio web atacado.
'Si se trata de un host virtual, para saber qué sitio web está siendo atacado, puede consultar: C:WINDOWSsystem32LogFilesHTTPERR.
Es fácil de analizar según el registro de errores.
writelog "nombre de política de adición estática netsh ipsec = XBLUE"
writelog "netsh ipsec static agregar nombre de lista de filtros = denyip"
overip=""
f_name=rutadelarchivoderegistro
'Especificar archivo de registro
': extrae la IP en los archivos de registro en el formato de filtrado requerido por ipsec e impórtala a ipsec para filtrar. Adecuado para situaciones en las que un sitio web está sujeto a una gran cantidad de ataques CC.
' por China Webmaster Data Center http://www.ixzz.com El mayor proveedor de servicios de alojamiento virtual de China, espacio multiuso 12G por 350 yuanes.
'2007-5-12
'Este programa es original de este sitio. Si desea citarlo, conserve nuestra URL.
establecer fileobj88=CreateObject("Scripting.FileSystemObject")
Establecer MYFILE=fileobj88.OpenTextFile(f_name,1,false)
contentover=MIARCHIVO.ReadAll()
contentip=lcase(contenidosobre)
MIARCHIVO.cerrar
establecer fileobj88=nada
en caso de error reanudar siguiente
milínea=split(contentip,chr(13))
para i=0 a ubound(milínea)-1
milínea2=split(milínea(i)," ")
nuevaip=milínea2(6)
'¡Especifique una cadena de identificación separada!
si instr(overip,newip)=0 entonces 'Eliminar IP duplicadas.
overip=sobreip&newip
dsafasf=split(newip,".")
si ubound(dsafasf)=3 entonces
writelog "netsh ipsec estático agregar filtro filterlist=denyip srcaddr="&newip&" dstaddr=Me
dstport=80 protocolo=TCP"
terminar si
demás
wscript.echo newip &"¡está saliendo!"
terminar si
próximo
writelog "netsh ipsec estático agregar nombre de acción de filtro = acción de denegación = bloquear"
writelog "nombre de regla de adición estática netsh ipsec=kill3389 política=XBLUE filterlist=denyip
filteraction=denyact"
writelog "nombre de política de conjunto estático netsh ipsec = XBLUE asignar = y"
Sub writelog(errmes) 'Exportar el archivo de política IPsec a un archivo bat.
ipfilename="denyerrorip.bat"
Establecer archivo de registro = archivoobj.opentextfile (nombre de archivo ip, 8, verdadero)
errores logfile.writeline
archivo de registro.cerrar
Establecer archivo de registro = nada
End Sub
'Al final del código,
guarde el código anterior como un archivo .vbs y establezca la ruta del registro. Simplemente haga doble clic para ejecutar. Después de ejecutar, se generará un archivo denyerrorip.bat. Este es el archivo de política requerido por ipsec.
Después de ejecutarlo, el problema del ataque CC se puede resolver.