Prinsip serangan CC
CC terutama digunakan untuk menyerang halaman. Setiap orang pasti pernah mengalami hal ini, yaitu ketika mengunjungi suatu forum, jika forumnya relatif besar dan lebih banyak orang yang berkunjung maka kecepatan membuka halaman tersebut akan lebih lambat bukan? ! Secara umum Secara umum, semakin banyak orang mengunjungi, semakin banyak halaman forum, semakin besar database, semakin tinggi frekuensi kunjungan, dan sumber daya sistem yang digunakan cukup besar. Sekarang saya tahu mengapa banyak penyedia layanan luar angkasa mengatakan Anda harus melakukannya tidak mengunggah forum. Mari kita tunggu ruang obrolan.
Halaman statis tidak memerlukan banyak sumber daya server. Bahkan dapat dibaca langsung dari memori dan dikirimkan kepada Anda. Tetapi forumnya berbeda untuk menilainya di database. Apakah saya memiliki izin untuk membaca postingan tersebut? Jika ya, baca konten di postingan tersebut dan tampilkan - database telah diakses minimal 2 kali. Jika database berukuran 200MB, maka sistemnya kemungkinan menyimpan 200MB data. Berapa banyak sumber daya CPU dan waktu yang diperlukan untuk mencari ruang? Jika saya mencari kata kunci, waktunya akan lebih lama, karena pencarian sebelumnya dapat dibatasi pada rentang yang kecil, misalnya izin pengguna hanya memeriksa tabel pengguna dan konten posting Cukup periksa tabel posting, dan Anda dapat segera menghentikan kueri ketika Anda menemukannya.Pencarian pasti akan menilai semua data satu kali, yang menghabiskan banyak waktu
CC memanfaatkan sepenuhnya fitur ini untuk mensimulasikan banyak pengguna (berapa banyak utas Berapa banyak pengguna) yang terus-menerus mengakses (mengakses halaman yang memerlukan banyak operasi data, yaitu banyak waktu CPU
Fenomena serangan:
Lalu lintas dari server bisa mencapai lebih dari puluhan M dalam sekejap, dan website tidak bisa dibuka. Mulai ulang iis dan Anda akan menemukan bahwa lalu lintas akan segera turun. Melihat log IIS, Anda akan menemukan banyak IP berbeda yang mengakses file yang sama berulang kali. Periksa C:WINDOWSsystem32LogFilesHTTPERR dan Anda akan menemukan banyak log IIS kesalahan, sebagai berikut:
22-08-2007 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503
30 ConnLimit pool 21
22-08-2007 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 DAPATKAN /list.asp?ProdId=0961
503 30 ConnLimit pool21
22-08-2007 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 DAPATKAN /list.asp?ProdId=0961
503 30 ConnLimit pool21
22-08-2007 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 DAPATKAN /list.asp?ProdId=0961
503 30 ConnLimit pool21
22-08-2007 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 DAPATKAN /list.asp?ProdId=0961
503 30 ConnLimit pool21
22-08-2007 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 DAPATKAN /list.asp?ProdId=0961
503 30 ConnLimit pool21
...
Terlihat banyak IP berbeda yang mengakses file list.asp. Fenomena di atas merupakan ciri-ciri serangan CC. Tergantung pada jumlah mesin daging yang digunakan untuk meluncurkan serangan CC, serangan kecil dapat menyebabkan situs web menjadi lambat atau tidak stabil, dan serangan besar dapat membuat situs web tidak dapat dibuka setiap saat.
Karena jenis serangan ini mensimulasikan pengguna normal untuk terus menerus meminta halaman web. Oleh karena itu, sulit untuk bertahan melawan firewall biasa. Di bawah ini, berdasarkan pengalaman kerja sebenarnya, kami akan membahas tentang cara mengatasi masalah serangan ini tanpa menggunakan firewall.
Karena serangan CC menggunakan mesin daging atau proxy untuk mengakses server kami, serangan ini berbeda dengan serangan synflood. synfoold selalu menjadi IP palsu yang terus berubah, sedangkan IP yang digunakan dalam serangan CC semuanya adalah IP asli dan pada dasarnya tidak berubah selama kami menggunakan kebijakan keamanan untuk memblokir semua IP ini, semuanya akan baik-baik saja.
Saya telah melihat metode yang diperkenalkan oleh beberapa netizen, tetapi ini hanya blok manual satu per satu, dan IP serangan biasanya ribuan IP berbeda. Terlalu merepotkan untuk memblokir IP secara manual. Selanjutnya kita menggunakan program untuk memblokir IP ini secara otomatis!
Program ini terutama membaca log IIS situs web ini, menganalisis alamat IP, dan secara otomatis memblokirnya menggunakan kebijakan keamanan. Kode VBS adalah sebagai berikut:
'Kode dimulai
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'Perhatikan penentuan jalur log situs web yang diserang.
'Jika itu adalah virtual host, untuk mengetahui situs web mana yang diserang, Anda dapat memeriksa: C:WINDOWSsystem32LogFilesHTTPERR.
Sangat mudah untuk menganalisis berdasarkan log kesalahan.
writelog "netsh IPSec static tambahkan nama kebijakan=XBLUE"
writelog "netsh ipsec static tambahkan nama daftar filter=tolak"
overip=""
f_name=jalur file log
'Tentukan file log
': ekstrak IP dalam file log ke dalam format pemfilteran yang diperlukan oleh ipsec, dan impor ke ipsec untuk pemfilteran. Cocok untuk situasi di mana situs web terkena serangan CC dalam jumlah besar.
' oleh Pusat Data Webmaster China http://www.ixzz.com Penyedia layanan hosting virtual terbesar di China, ruang serba guna 12G seharga 350 yuan!
'2007-5-12
'Program ini asli dari situs ini. Jika Anda ingin mengutipnya, harap simpan URL kami.
set fileobj88=CreateObject("Scripting.FileSystemObject")
Setel MYFILE=fileobj88.OpenTextFile(f_name,1,false)
kontenover=MYFILE.ReadAll()
contentip=lcase(kontenover)
MYFILE.tutup
atur fileobj88=tidak ada
pada kesalahan lanjutkan berikutnya
myline=split(contentip,chr(13))
untuk i=0 hingga ubound(myline)-1
myline2=split(myline(i)," ")
newip=barisansaya2(6)
'Tentukan string identifikasi terpisah!
if instr(overip,newip)=0 lalu 'Hapus IP duplikat.
overip=overip&newip
dsafasf=berpisah(newip,".")
jika ubound(dsafasf)=3 maka
writelog "netsh ipsec static tambahkan filter filterlist=denyip srcaddr="&newip&" dstaddr=Saya
dstport=80 protokol=TCP"
berakhir jika
kalau tidak
wscript.echo newip &" keluar!"
berakhir jika
Berikutnya
writelog "netsh ipsec static tambahkan nama filteraction=tolak tindakan=blok"
writelog "netsh ipsec static tambahkan nama aturan=kill3389 policy=XBLUE filterlist=denyip
filteraction=denyact"
writelog "netsh ipsec static set nama kebijakan=XBLUE tetapkan=y"
Sub writelog(errmes) 'Ekspor file kebijakan IPsec ke file bat.
ipfilename="denyerrorrip.bat"
Setel file log=fileobj.opentextfile(namafileip,8,benar)
logfile.writeline salah
file log.tutup
Setel file log=tidak ada
End Sub
'Di akhir kode,
simpan kode di atas sebagai file .vbs dan atur jalur lognya. Cukup klik dua kali untuk menjalankan. Setelah dijalankan, file rejectorip.bat akan dibuat. Ini adalah file kebijakan yang diperlukan oleh IPSec.
Setelah dijalankan, masalah serangan CC dapat teratasi.