防范CC攻击的有效方法
CC攻击可以归为DDoS攻击的一种。他们之间的原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。防御CC攻击可以通过多种方法,禁止网站代理访问,尽量将网站做成静态页面,限制连接数量等。这里就不一一介绍了,推荐使用天盾云防护系统%100防御CC攻击!天盾云防护是目前国内效率最高的抗DDOS防火墙,其自主研发的独特抗攻击算法,高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击,传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击、等多种未知攻击。各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,具备远处网络监控和数据包分析功能,能够迅速获取、分析最新的攻击特征,防御最新的攻击手段。同时,天盾DDoS云防护系统又是一款服务器安全卫士,具有多种服务器入侵防护功能,防止黑客嗅探,入侵篡改,真正做到了外防内保,为您打造一台安全省心免维护的服务器。
遭遇DDOS分布式拒绝服务攻击,使用防火墙来对付半连接、假IP,还算比较容易。而那种专挑复杂动态应用程序URL进行的分布式CC攻击,来源为真实IP、真实HTTP请求,具有模拟正规浏览器User-Agent、单个IP的每秒请求数不高、有成千上万个攻击源等特征,很难与正常访问区分开,比较难对付。但是,正常通过浏览器访问一个URL,会加载该URL中引入的JavaScript脚本、CSS样式、图片等文件。遇到CC攻击,需要及时分析日志,找出访问量异常上涨的URL,然后用事先写好的shell脚本找出哪些IP的请求只访问了该URL,而不加载该URL引入的文件,对这些IP进行自动封锁。
优化代码
尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销。
减少复杂框架的调用,减少不必要的数据请求和处理逻辑。
程序执行中,及时释放资源,比如及时关闭mysql连接,及时关闭memcache连接等,减少空连接消耗。
限制手段
对一些负载较高的程序增加前置条件判断,可行的判断方法如下
必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求)
必须具有正确的referer(可有效防止嵌入式代码的攻击)
禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征)
同一session多少秒内只能执行一次
完善日志
尽可能完整保留访问日志。
有日志分析程序,能够尽快判断出异常访问,比如单一ip密集访问;比如特定url同比请求激增。
CC攻击,从运维角度上分析,经常被认为是无解的,因为从通用安全防护而言,想阻止cc攻击几无可能;但是开发工程师多思考,多设想潜在的危险,还是可以做很多有效的防护的;有时候我们在开发一些低频访问的应用时,不太会考虑效率问题,但是孰不知,这种应用真实请求虽然不多,但是一旦被人利用作为cc攻击的突破口,就很可能造成全站的崩溃和不可预料的后果。有这样的警觉和认识,很多问题就可以避免,至少应对低量级的cc攻击,就不会那样束手无策。