Principe de l'attaque CC
CC est principalement utilisé pour attaquer les pages. Tout le monde a cette expérience, c'est-à-dire que lors de la visite d'un forum, si le forum est relativement grand et qu'il y a plus de visiteurs, la vitesse d'ouverture de la page sera plus lente, n'est-ce pas ? ! De manière générale De manière générale, plus les gens visitent, plus le forum contient de pages, plus la base de données est grande, plus la fréquence des visites est élevée et les ressources système occupées sont considérables. Maintenant, je sais pourquoi de nombreux fournisseurs de services spatiaux disent que vous devriez le faire. ne téléchargez pas de forums. Attendons la salle de discussion.
Une page statique ne nécessite pas beaucoup de ressources du serveur. Elle peut même être lue directement à partir de la mémoire et vous être envoyée. pour le juger dans la base de données. Ai-je l'autorisation de lire le message ? Si oui, lisez le contenu du message et affichez-le - la base de données a été consultée au moins 2 fois. Si la base de données fait 200 Mo, le système l'est. est susceptible de stocker les 200 Mo de données. Combien de ressources CPU et de temps faut-il pour rechercher l'espace ? Si je recherche un mot-clé, le temps sera encore plus considérable, car la recherche précédente peut être limitée à une petite plage,
par exemple, les autorisations utilisateur vérifient uniquement la table utilisateur et le contenu de la publication. Vérifiez simplement la table de publication et vous pouvez arrêter la requête immédiatement lorsque vous latrouvez
. La recherche jugera définitivement toutes les données une fois, ce qui prend beaucoup de temps.
tire pleinement parti de cette fonctionnalité pour simuler plusieurs utilisateurs (combien de threads combien d'utilisateurs) accèdent en permanence (accès à des pages qui nécessitent beaucoup d'opérations de données, c'est-à-dire beaucoup de temps CPU).
Phénomène d'attaque :
le trafic du. Le serveur peut atteindre plus de dizaines de M en un instant et le site Web ne peut pas être ouvert. Redémarrez IIS et vous constaterez que le trafic diminuera immédiatement. En examinant les journaux IIS, vous constaterez que de nombreuses adresses IP différentes accèdent au même fichier à plusieurs reprises. Vérifiez C:WINDOWSsystem32LogFilesHTTPERR et vous trouverez de nombreux journaux d'erreurs IIS, comme suit :
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp=0961
503 30 ConnLimit pool2
? 1
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp ?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp ?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp ?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
...
On peut voir que de nombreuses adresses IP différentes accèdent au fichier list.asp. Les phénomènes ci-dessus sont les caractéristiques des attaques CC. En fonction du nombre de machines à viande utilisées pour lancer des attaques CC, de petites attaques peuvent rendre le site Web lent ou instable, et des attaques de grande envergure peuvent empêcher l'ouverture permanente du site Web.
Parce que ce type d’attaque simule la demande continue d’utilisateurs normaux d’une page Web. Il est donc difficile de se défendre contre les pare-feux ordinaires. Ci-dessous, sur la base d'une expérience professionnelle réelle, nous expliquerons comment résoudre ce problème d'attaque sans utiliser de pare-feu.
Étant donné que les attaques CC utilisent des machines à viande ou des proxys pour accéder à nos serveurs, elles sont différentes des attaques synflood. synfoold a toujours été une fausse IP en constante évolution, tandis que les IP utilisées dans les attaques CC sont toutes de vraies IP et ne changent fondamentalement pas. Tant que nous utilisons des politiques de sécurité pour bloquer toutes ces IP, tout ira bien.
J'ai vu la méthode introduite par certains internautes, mais il ne s'agit que d'un blocage manuel un par un, et l'adresse IP d'attaque est généralement constituée de milliers d'adresses IP différentes. Il est trop difficile de bloquer l'IP manuellement. Ensuite, nous utilisons un programme pour bloquer automatiquement ces IP !
Le programme lit principalement le journal IIS de ce site Web, analyse l'adresse IP et la bloque automatiquement à l'aide de politiques de sécurité. Le code VBS est le suivant :
'Le code démarre
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'Faites attention à spécifier le chemin du journal du site Web attaqué.
« S'il s'agit d'un hôte virtuel, pour savoir quel site Web est attaqué, vous pouvez vérifier : C:WINDOWSsystem32LogFilesHTTPERR
Il est facile à analyser en fonction du journal des erreurs.
writelog "nom de la politique d'ajout statique netsh ipsec = XBLUE"
writelog "netsh ipsec static add filterlist name=denyip"
overip=""
f_name=chemin du fichier journal
« Spécifier le fichier journal
» : extrayez l'adresse IP des fichiers journaux dans le format de filtrage requis par ipsec et importez-la dans ipsec pour le filtrage. Convient aux situations où un site Web est soumis à un grand nombre d'attaques CC.
' par China Webmaster Data Center http://www.ixzz.com Le plus grand fournisseur de services d'hébergement virtuel de Chine, espace polyvalent 12G pour 350 yuans !
'2007-5-12
'Ce programme est original sur ce site. Si vous souhaitez le citer, veuillez conserver notre URL.
set fileobj88=CreateObject("Scripting.FileSystemObject")
Définir MYFILE=fileobj88.OpenTextFile(f_name,1,false)
contentover=MYFILE.ReadAll()
contentip=lcase(contentover)
MONFICHIER.close
définir fileobj88 = rien
en cas d'erreur, reprendre ensuite
maligne=split(contentip,chr(13))
pour i=0 à ubound(myline)-1
myline2=split(myline(i)," ")
newip=maligne2(6)
'Spécifiez une chaîne d'identification distincte !
si instr(overip,newip)=0 alors « Supprimez les adresses IP en double.
overip=overip&newip
dsafasf=split(newip,".")
si ubound(dsafasf)=3 alors
writelog "netsh ipsec static add filter list=denyip srcaddr="&newip&" dstaddr=Me
dstport=80 protocol=TCP"
finir si
autre
wscript.echo newip &" est sorti !"
finir si
suivant
writelog "netsh ipsec static add filteraction name=denyact action=block"
writelog "netsh ipsec static add nom de règle=kill3389 Policy=XBLUE filterlist=denyip
filteraction=denyact"
writelog "netsh ipsec static set nom de la politique = XBLUE assign = y"
Sub writelog(errmes) 'Exportez le fichier de stratégie IPsec vers un fichier bat.
ipfilename="denyerrorip.bat"
Définir logfile=fileobj.opentextfile(ipfilename,8,true)
erreurs logfile.writeline
fichier journal.close
Définir le fichier journal = rien
End Sub
'À la fin du code,
enregistrez le code ci-dessus en tant que fichier .vbs et définissez le chemin du journal. Double-cliquez simplement pour exécuter. Après l'exécution, un fichier denyerrorip.bat sera généré. Il s'agit du fichier de politique requis par IPSec. Double-cliquez simplement pour exécuter.
Après l'exécution, le problème de l'attaque CC peut être résolu.