CC 攻撃の原理
CC は主にページを攻撃するために使用されます。フォーラムにアクセスするとき、フォーラムが比較的大きく、アクセスする人が多いと、ページを開く速度が遅くなります。一般的に言えば、訪問する人が増えるほど、フォーラムのページ数が増え、データベースが大きくなり、訪問頻度が高くなり、占有されるシステム リソースがかなり大きくなります。多くのスペース サービス プロバイダーがそうすべきだと言っている理由がわかりました。フォーラムをアップロードしないでください。
静的ページは、メモリから直接読み取って送信することもできます。しかし、フォーラムは異なります。投稿を読み取る権限がありますか? 許可されている場合は、投稿の内容を読み取って表示します。データベースのサイズが 200MB であれば、システムは 2 回以上アクセスしています。 200MB のデータを保存すると思われます。そのスペースを検索するにはどれくらいの CPU リソースと時間がかかりますか? キーワードを検索する場合、以前の検索は狭い範囲に限定される可能性があるため、さらに時間がかかります。たとえば、ユーザー権限はユーザーテーブルと投稿コンテンツのみをチェックします。投稿テーブルをチェックするだけで、検索はすべてのデータを一度に確実に判断しますが、これには多くの時間がかかります
。この機能を最大限に活用して、複数のユーザー (スレッド数、ユーザー数) が常にアクセスしている (大量のデータ操作、つまり大量の CPU 時間を必要とするページへのアクセス) の
トラフィック
をシミュレートします
。サーバーの通信量が一瞬で数十Mを超えてしまい、Webサイトが開けなくなることがあります。 iis を再起動すると、トラフィックがすぐに減少することがわかります。 IIS ログを見ると、多くの異なる IP が同じファイルに繰り返しアクセスしていることがわかります。 C:WINDOWSsystem32LogFilesHTTPERR を確認すると、次のような多くのエラー IIS ログが見つかります。
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool2 1
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit プール 21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit プール 21
...
多くの異なる IP が list.asp ファイルにアクセスしていることがわかります。上記の現象は CC 攻撃の特徴です。 CC 攻撃を開始するために使用されるミート マシンの数に応じて、小規模な攻撃では Web サイトが遅くなったり不安定になったりする可能性があり、大規模な攻撃では Web サイトが常に開けなくなる可能性があります。
このタイプの攻撃は、通常のユーザーが継続的に Web ページを要求することをシミュレートするためです。したがって、通常のファイアウォールから防御することは困難です。以下では、実際の業務経験に基づいて、ファイアウォールを使用せずにこの攻撃の問題を解決する方法について説明します。
CC 攻撃はミート マシンまたはプロキシを使用してサーバーにアクセスするため、synflood 攻撃とは異なります。 synfoold は常に変化する偽の IP ですが、CC 攻撃に使用される IP はすべて本物の IP であり、セキュリティ ポリシーを使用してこれらの IP をすべてブロックしている限り、問題はありません。
一部のネットユーザーが紹介した方法を見たことがありますが、それは手動で 1 つずつブロックするだけであり、攻撃 IP は通常数千の異なる IP です。手動でIPブロックするのは面倒です。次に、プログラムを使用してこれらの IP を自動的にブロックします。
このプログラムは主にこの Web サイトの IIS ログを読み取り、IP アドレスを分析し、セキュリティ ポリシーを使用して自動的にブロックします。 VBS コードは次のとおりです。
'コードの開始
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" '攻撃された Web サイトのログ パスの指定に注意してください。
仮想ホストの場合、どの Web サイトが攻撃を受けているかを確認するには、C:WINDOWSsystem32LogFilesHTTPERR を確認します。
エラー ログに従って簡単に分析できます。
writelog "netsh ipsec static add ポリシー名=XBLUE"
writelog "netsh ipsec static add filterlist name=denyip"
overip=""
f_name=ログファイルパス
「ログ ファイルの指定
」プログラム機能: ログファイル内の IP を ipsec で必要なフィルタリング形式に抽出し、フィルタリングのために ipsec にインポートします。 Web サイトが大量の CC 攻撃を受ける状況に適しています。
中国ウェブマスターデータセンター著http://www.ixzz.com中国最大の仮想ホスティングサービスプロバイダー、12Gの多目的スペースが350元!
'2007-5-12
このプログラムはこのサイトのオリジナルです。引用する場合は、URL を保存してください。
set fileobj88=CreateObject("Scripting.FileSystemObject")
MYFILE=fileobj88.OpenTextFile(f_name,1,false) を設定します。
contentover=MYFILE.ReadAll()
contentip=lcase(コンテンツオーバー)
MYFILE.close
ファイルobj88=何も設定しない
エラー時は次から再開
myline=split(contentip,chr(13))
for i=0 から ubound(myline)-1
myline2=split(myline(i)," ")
newip=マイライン2(6)
' 別の識別文字列を指定してください!
if instr(overip,newip)=0 then '重複した IP を削除します。
overip=overip&newip
dsafasf=split(newip,".")
ubound(dsafasf)=3 の場合、
writelog "netsh ipsec 静的フィルター追加フィルターリスト = 拒否 srcaddr="&newip&" dstaddr=Me
dstport=80 プロトコル = TCP"
終了する場合
それ以外
wscript.echo newip &" は終了します!"
終了する場合
次
writelog "netsh ipsec static add filteraction name=denyact action=block"
writelog "netsh ipsec 静的追加ルール名 = kill3389 ポリシー = XBLUE フィルターリスト = 拒否
IP フィルターアクション = 拒否"
writelog "netsh ipsec static set ポリシー名=XBLUE assign=y"
Sub writelog(errmes) 'IPsec ポリシー ファイルを Bat ファイルにエクスポートします。
ipfilename="拒否エラーリップ.bat"
設定 logfile=fileobj.opentextfile(ipfilename,8,true)
logfile.writeline エラー
ログファイル.閉じる
ログファイル=なしを設定します
End Sub
'コードの最後で、
上記のコードを .vbs ファイルとして保存し、ログのパスを設定します。ダブルクリックして実行すると、denyerrorip.bat ファイルが生成されます。これは ipsec に必要なポリシー ファイルです。
実行後、CC 攻撃の問題は解決できます。