Принцип CC-атаки
CC в основном используется для атаки на страницы. У каждого есть такой опыт, то есть при посещении форума, если форум относительно большой и его посещает больше людей, скорость открытия страницы будет медленнее, верно? !Вообще говоря, чем больше людей посещает форум, тем больше страниц, тем больше база данных, тем выше частота посещений, а занимаемые системные ресурсы значительны. Теперь я знаю, почему многие поставщики космических услуг говорят, что вам следует. не загружать форумы. Подождем чата.
Статическая страница не требует много ресурсов сервера. Ее даже можно прочитать прямо из памяти и отправить вам. Но форум — это другое. Когда я читаю пост, это нужно системе. чтобы судить об этом в базе данных. Есть ли у меня разрешение на чтение сообщения? Если да, прочитайте содержимое сообщения и отобразите его - к базе данных обращались как минимум 2 раза. Если размер базы данных составляет 200 МБ, система работает. вероятно, будет хранить 200 МБ данных. Сколько ресурсов процессора и времени потребуется для поиска в этом пространстве? Если я ищу ключевое слово, время будет еще более значительным, поскольку предыдущий поиск может быть ограничен небольшим диапазоном?
например, права пользователя проверяют только таблицу пользователей и содержимое публикации. Просто проверьте таблицу сообщений, и вы можете немедленно остановить запрос, как только найдете ее.Поиск
обязательно оценит все данные один раз, что отнимает много времени.
в полной мере использует эту функцию для имитации постоянного доступа нескольких пользователей (сколько потоков и сколько пользователей) (доступ к страницам, требующим большого количества операций с данными, то есть большого количества процессорного времени.
Явление атаки:
трафик)
.Сервер может мгновенно достичь более десятков M, и веб-сайт не может быть открыт. Перезапустите iis, и вы обнаружите, что трафик немедленно упадет. Просматривая журналы IIS, вы обнаружите, что множество разных IP-адресов неоднократно обращаются к одному и тому же файлу. Проверьте C:WINDOWSsystem32LogFilesHTTPERR, и вы обнаружите множество журналов ошибок IIS, а именно:
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp
ProdId=0961 503 30 ConnLimitpool? 21
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit пул21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp
ProdId=0961 503 30 ConnLimit пул21
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp
ProdId=0961 503 30 ConnLimit пул21
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?
ProdId=0961 503 30 ConnLimit пул21
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961
503 30 ConnLimit пул21
...
Видно, что к файлу list.asp обращается множество разных IP-адресов. Вышеупомянутые явления являются характеристиками атак CC. В зависимости от количества мясных машин, используемых для запуска CC-атак, небольшие атаки могут привести к замедлению или нестабильности веб-сайта, а крупные атаки могут привести к невозможности постоянного открытия веб-сайта.
Потому что этот тип атаки имитирует обычных пользователей, которые постоянно запрашивают веб-страницу. Поэтому от обычных межсетевых экранов защититься сложно. Ниже, основываясь на реальном опыте работы, мы поговорим о том, как решить эту проблему атаки без использования межсетевого экрана.
Поскольку атаки CC используют мясные машины или прокси для доступа к нашим серверам, они отличаются от атак Synflood. Synfoold всегда представлял собой постоянно меняющийся фальшивый IP-адрес, в то время как IP-адреса, используемые в атаках CC, являются реальными IP-адресами и по сути не меняются. Пока мы используем политики безопасности для блокировки всех этих IP-адресов, все будет в порядке.
Я видел метод, предложенный некоторыми пользователями сети, но это просто ручная блокировка один за другим, а IP-адреса атаки обычно представляют собой тысячи разных IP-адресов. Заблокировать IP вручную слишком хлопотно. Далее используем программу для автоматической блокировки этих IP!
Программа в основном читает журнал IIS этого веб-сайта, анализирует IP-адрес и автоматически блокирует его с помощью политик безопасности. Код VBS выглядит следующим образом:
'Код начинается.
Set fileobj=CreateObject("Scripting.FileSystemObject")
logfilepath="E:w3logW3SVC237ex070512old.log" 'Обратите внимание на указание пути к журналу атакуемого сайта.
«Если это виртуальный хост, чтобы узнать, какой веб-сайт подвергается атаке, вы можете проверить: C:WINDOWSsystem32LogFilesHTTPERR.
Это легко проанализировать по журналу ошибок.
writelog "имя политики статического добавления netsh ipsec = XBLUE"
writelog "netsh ipsec static add filterlist name=denyip"
overip=""
f_name=путь к файлу журнала
«Указать файл журнала
»: извлечение IP-адресов из файлов журналов в формат фильтрации, требуемый ipsec, и импортирование его в ipsec для фильтрации. Подходит для ситуаций, когда веб-сайт подвергается большому количеству атак CC.
' Китайский центр обработки данных для веб-мастеров http://www.ixzz.com Крупнейший в Китае поставщик услуг виртуального хостинга, универсальное пространство 12G за 350 юаней!
'2007-5-12
«Эта программа является оригинальной для этого сайта. Если вы хотите ее цитировать, сохраните наш URL.
set fileobj88=CreateObject("Scripting.FileSystemObject")
Установите MYFILE=fileobj88.OpenTextFile(f_name,1,false)
contentover=МОЙФАЙЛ.ЧитатьВсе()
contentip=lcase(contentover)
МОЙФАЙЛ.закрыть
установить fileobj88=ничего
при ошибке продолжить дальше
myline=split(contentip,chr(13))
для i=0 до ubound(myline)-1
myline2=split(myline(i)," ")
новыйip=myline2(6)
'Укажите отдельную идентификационную строку!
если instr(overip,newip)=0, то «Удалить повторяющиеся IP-адреса».
overip=overip&newip
dsafasf=split(newip,".")
если ubound(dsafasf)=3, то
writelog "netsh ipsec static add filter filterlist=denyip srcaddr="&newip&" dstaddr=Me
dstport=80 протокол=TCP"
конец, если
еще
wscript.echo newip &" выходит!"
конец, если
следующий
writelog "netsh ipsec static add filteraction name=denyact action=block"
writelog "netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip
filteraction=denyact"
writelog "имя политики статического набора netsh ipsec = XBLUE Assign = y"
Sub writelog(errmes) 'Экспортируйте файл политики IPsec в файл bat.
ipfilename="denyerrorip.bat"
Установить файл журнала = fileobj.opentextfile (ipfilename, 8, true)
logfile.writeline ошибки
файл журнала.закрыть
Установить файл журнала = ничего
End Sub
'В конце кода
сохраните приведенный выше код как файл .vbs и укажите путь к журналу. Просто дважды щелкните для запуска. После запуска будет создан файл Denyerrorip.bat. Это файл политики, необходимый для работы ipsec. Просто дважды щелкните для запуска.
После запуска проблема атаки CC может быть решена.