CC 공격의 원리
CC는 주로 페이지를 공격하는 데 사용됩니다. 누구나 이런 경험이 있습니다. 즉, 포럼을 방문할 때 포럼이 상대적으로 크고 방문하는 사람이 많으면 페이지를 여는 속도가 느려지겠죠? ! 일반적으로 일반적으로 방문하는 사람이 많을수록 포럼의 페이지가 많아지고 데이터베이스가 커질수록 방문 빈도도 높아지며, 차지하는 시스템 리소스도 상당합니다. 포럼을 업로드하지 마세요.
정적 페이지에는 많은 서버 리소스가 필요하지 않습니다. 메모리에서 직접 읽어서 보낼 수도 있습니다. 하지만 게시물을 읽을 때는 시스템이 필요합니다. 게시물을 읽을 수 있는 권한이 있습니까? 그렇다면 게시물의 내용을 읽고 표시하십시오. 데이터베이스 크기가 200MB 이상인 경우 시스템은 200MB의 데이터를 저장할 가능성이 높으며, 해당 공간을 검색하는 데 CPU 리소스와 시간이 얼마나 소요됩니까?
예를 들어, 사용자 권한은 사용자 테이블과 게시물 내용만 확인하고 게시물 테이블을 확인하면 즉시 쿼리를 중지할 수 있습니다. 검색은
확실히 모든 데이터를 한 번 판단하므로 많은 시간이 소요됩니다.
이기능
을 최대한 활용하여 여러 사용자(스레드 수는 사용자 수)가 지속적으로 액세스(많은 데이터 작업, 즉 많은 CPU 시간이 필요한 페이지에 액세스)하는 것을 시뮬레이션합니다
.
서버는 순간적으로 수십M에 도달할 수 있으며, 웹사이트는 열리지 않습니다. iis를 다시 시작하면 트래픽이 즉시 떨어지는 것을 볼 수 있습니다. IIS 로그를 살펴보면 다양한 IP가 동일한 파일에 반복적으로 액세스하는 것을 알 수 있습니다. C:WINDOWSsystem32LogFilesHTTPERR을 확인하면 다음과 같은 많은 오류 IIS 로그를 찾을 수 있습니다.
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
...
list.asp 파일에 다양한 IP가 접근하고 있는 것을 볼 수 있습니다. 위의 현상은 CC 공격의 특징입니다. CC 공격에 사용되는 고기 기계의 수에 따라 작은 공격으로 인해 웹 사이트가 느려지거나 불안정해질 수 있으며, 대규모 공격으로 인해 웹 사이트가 항상 열리지 않을 수 있습니다.
이러한 유형의 공격은 일반 사용자가 지속적으로 웹 페이지를 요청하도록 시뮬레이션하기 때문입니다. 따라서 일반적인 방화벽으로는 방어가 어렵습니다. 아래에서는 실제 업무 경험을 바탕으로 방화벽을 사용하지 않고 이러한 공격 문제를 해결하는 방법에 대해 이야기하겠습니다.
CC 공격은 미트 머신이나 프록시를 사용하여 서버에 액세스하기 때문에 synflood 공격과 다릅니다. synfoold는 항상 끊임없이 변화하는 가짜 IP였지만, CC 공격에 사용된 IP는 모두 실제 IP이며 기본적으로 변경되지 않습니다. 보안 정책을 사용하여 이러한 IP를 모두 차단하면 괜찮습니다.
몇몇 네티즌들이 소개한 방법을 본 적이 있는데 하나씩 수동으로 차단하는 것일 뿐이고, 공격 IP는 대개 수천 개의 서로 다른 IP다. IP를 수동으로 차단하는 것은 너무 번거롭습니다. 다음으로 우리는 이러한 IP를 자동으로 차단하는 프로그램을 사용합니다!
이 프로그램은 주로 이 웹 사이트의 IIS 로그를 읽고 IP 주소를 분석한 후 보안 정책을 사용하여 자동으로 차단합니다. VBS 코드는 다음과 같습니다.
'코드 시작
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" '공격받은 웹사이트의 로그 경로를 명시할 때 주의하세요.
'가상 호스트인 경우 어떤 웹사이트가 공격을 받고 있는지 확인하려면 C:WINDOWSsystem32LogFilesHTTPERR을 확인하면 됩니다.
오류 로그에 따라 분석하기 쉽습니다.
writelog "netsh ipsec 정적 추가 정책 이름=XBLUE"
writelog "netsh ipsec 정적 추가 필터 목록 이름=denyip"
overip=""
f_name=로그파일경로
'로그 파일 지정
' 프로그램 기능: 로그 파일의 IP를 ipsec에서 요구하는 필터링 형식으로 추출하고 필터링을 위해 ipsec로 가져옵니다. 웹사이트가 다수의 CC 공격을 받는 상황에 적합합니다.
' 중국 웹마스터 데이터 센터 http://www.ixzz.com 중국 최대 가상 호스팅 서비스 제공업체, 12G 다목적 공간을 350위안으로!
'2007-5-12
'이 프로그램은 이 사이트의 원본입니다. 인용하려면 URL을 유지하세요.
set fileobj88=CreateObject("Scripting.FileSystemObject")
MYFILE=fileobj88.OpenTextFile(f_name,1,false) 설정
콘텐츠오버=MYFILE.ReadAll()
contentip=lcase(콘텐츠오버)
마이파일.닫기
fileobj88=아무것도 설정하지 않음
오류 발생 시 다음 재개
myline=split(contentip,chr(13))
i=0에서 ubound(myline)-1
myline2=split(myline(i)," ")
newip=myline2(6)
'별도의 식별문자열을 지정하세요!
if instr(overip,newip)=0 then '중복 IP를 제거합니다.
overip=overip&newip
dsafasf=분할(newip,".")
ubound(dsafasf)=3이면
writelog "netsh ipsec 정적 추가 필터 필터 목록=denyip srcaddr="&newip&" dstaddr=Me
dstport=80 프로토콜=TCP"
종료하면
또 다른
wscript.echo newip &"가 종료됩니다!"
종료하면
다음
writelog "netsh ipsec 정적 추가 필터 작업 이름=거부 작업=차단"
writelog "netsh ipsec 정적 추가 규칙 이름=kill3389 정책=XBLUE 필터 목록=거부
IP 필터 작업=거부"
writelog "netsh ipsec 정적 설정 정책 이름=XBLUE 할당=y"
Sub writelog(errmes) 'IPsec 정책 파일을 bat 파일로 내보냅니다.
ipfilename="denyerrorip.bat"
logfile=fileobj.opentextfile(ipfilename,8,true) 설정
logfile.writeline 오류
로그파일.닫기
로그 파일 설정 = 없음
End Sub
'코드 끝부분에
위 코드를 .vbs 파일로 저장하고 로그 경로를 설정합니다. 실행하려면 두 번 클릭하세요. 실행 후에는 denyerrorip.bat 파일이 생성됩니다. 이는 ipsec에 필요한 정책 파일입니다.
실행 후 CC 공격 문제를 해결할 수 있습니다.