Princípio do ataque CC
O CC é usado principalmente para atacar páginas Todo mundo tem essa experiência, ou seja, ao visitar um fórum, se o fórum for relativamente grande e houver mais pessoas visitando, a velocidade de abertura da página será mais lenta, certo? ! De um modo geral De modo geral, quanto mais pessoas visitam, mais páginas o fórum tem, quanto maior é o banco de dados, maior a frequência das visitas e os recursos do sistema ocupados são consideráveis. Agora eu sei por que muitos provedores de serviços de espaço dizem que você deveria. não carregue fóruns. Vamos esperar pela sala de chat.
Uma página estática não requer muitos recursos do servidor. Ela pode até ser lida diretamente da memória e enviada para você. para julgá-lo no banco de dados. Tenho permissão para ler a postagem. Em caso afirmativo, leia o conteúdo da postagem e exiba-o - o banco de dados foi acessado pelo menos 2 vezes. Se o banco de dados tiver 200 MB de tamanho, o sistema é. provavelmente armazenará 200 MB de dados. Quantos recursos de CPU e tempo serão necessários para pesquisar o espaço. Se eu estiver procurando por uma palavra-chave, o tempo será ainda mais considerável, porque a pesquisa anterior pode ser limitada a um pequeno intervalo, por exemplo, as permissões do usuário apenas verificam a tabela do usuário e postam o conteúdo. Basta verificar a tabela de postagens e você pode interromper a consulta imediatamente ao encontrá-la. A pesquisa definitivamente julgará todos os dados uma vez, o que consome muito tempo
CC
.aproveita ao máximo esse recurso para simular vários usuários (quantos threads são quantos usuários) acessando constantemente (acessando páginas que exigem muitas operações de dados, ou seja, muito tempo de CPU.
Fenômeno de ataque:
o tráfego do)
.o servidor pode atingir mais de dezenas de M em um instante e o site não pode ser aberto. Reinicie o iis e você descobrirá que o tráfego diminuirá imediatamente. Observando os logs do IIS, você descobrirá que muitos IPs diferentes acessam o mesmo arquivo repetidamente. Verifique C:WINDOWSsystem32LogFilesHTTPERR e você encontrará muitos logs de erros do IIS, como segue:
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?
21
22/08/2007 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 Conjunto ConnLimit21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp
?
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp
ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit pool21
22/08/2007 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 Conjunto ConnLimit21
...
Pode-se observar que muitos IPs diferentes estão acessando o arquivo list.asp. Os fenômenos acima são características dos ataques CC. Dependendo do número de máquinas de carne usadas para lançar ataques CC, pequenos ataques podem tornar o site lento ou instável, e grandes ataques podem impedir que o site seja aberto o tempo todo.
Porque esse tipo de ataque simula que usuários normais solicitam continuamente uma página da web. Portanto, é difícil defender-se contra firewalls comuns. A seguir, com base na experiência real de trabalho, falaremos sobre como resolver esse problema de ataque sem usar firewall.
Como os ataques CC usam máquinas de carne ou proxies para acessar nossos servidores, eles são diferentes dos ataques synflood. synfoold sempre foi um IP falso em constante mudança, enquanto os IPs usados em ataques CC são todos IPs reais e basicamente não mudam, desde que usemos políticas de segurança para bloquear todos esses IPs, tudo ficará bem.
Já vi o método introduzido por alguns internautas, mas é apenas um bloqueio manual, um por um, e o IP de ataque geralmente é de milhares de IPs diferentes. É muito problemático bloquear o IP manualmente. A seguir usamos um programa para bloquear automaticamente esses IPs!
O programa lê principalmente o log IIS deste site, analisa o endereço IP e o bloqueia automaticamente usando políticas de segurança. O código VBS é o seguinte:
'O código inicia
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'Preste atenção ao especificar o caminho de log do site atacado.
'Se for um host virtual, para descobrir qual site está sob ataque, você pode verificar: C:WINDOWSsystem32LogFilesHTTPERR
É fácil de analisar de acordo com o log de erros.
writelog "netsh ipsec static add nome da política = XBLUE"
writelog "netsh ipsec static add nome da lista de filtros = denyip"
overip = ""
f_name=logfilepath
'Especificar arquivo de log
': extraia o IP nos arquivos de log para o formato de filtragem exigido pelo ipsec e importe-o para o ipsec para filtragem. Adequado para situações em que um site está sujeito a um grande número de ataques CC.
' pelo China Webmaster Data Center http://www.ixzz.com O maior provedor de serviços de hospedagem virtual da China, espaço multifuncional 12G por 350 yuans!
'2007-5-12
'Este programa é original deste site. Se você quiser citá-lo, guarde nosso URL.
definir fileobj88=CreateObject("Scripting.FileSystemObject")
Definir MEUARQUIVO=arquivoobj88.OpenTextFile(f_name,1,falso)
contentover=MEUARQUIVO.ReadAll()
contentip=lcase(contentover)
MEUARQUIVO.fechar
definir arquivoobj88 = nada
em caso de erro, retome a seguir
minhalinha=dividir(contentip,chr(13))
para i=0 para ubound(minhalinha)-1
minhalinha2=split(minhalinha(i)," ")
newip=minhalinha2(6)
'Especifique uma string de identificação separada!
if instr(overip,newip)=0 então 'Remover IPs duplicados.
overip=overip&newip
dsafasf=split(newip,".")
se ubound(dsafasf)=3 então
writelog "netsh ipsec static add filter list=denyip srcaddr="&newip&" dstaddr=Me
dstport=80 protocol=TCP"
terminar se
outro
wscript.echo newip &" está encerrado!"
terminar se
próximo
writelog "netsh ipsec static add filteraction name=denyact action=block"
writelog "netsh ipsec static add regra nome = kill3389 política = XBLUE filterlist = denyip
filteraction = denyact"
writelog "netsh ipsec static set nome da política = XBLUE atribuir = y"
Sub writelog(errmes) 'Exporta o arquivo de política IPsec para um arquivo bat.
ipfilename="denyerrorip.bat"
Definir logfile=fileobj.opentextfile(ipfilename,8,true)
logfile.writeline erro
arquivo de log.fechar
Definir arquivo de log = nada
End Sub
'No final do código,
salve o código acima como um arquivo .vbs e defina o caminho do log. Basta clicar duas vezes para executar. Após a execução, um arquivo denyerrorip.bat será gerado. Este é o arquivo de política exigido pelo ipsec.
Após a execução, o problema do ataque CC pode ser resolvido.