由于最近网站一直被攻击,搞的人很头疼,所以就在不断学习网站攻击防御方面的知识,今天简单总结一下。由于李海博客总结的内容都是很基础的小白知识,所以建议高手可以跳过。
针对网站常见的两种攻击CC攻击和DDoS攻击,将其原理和建议防御方法总结如下:
一、首先是CC攻击
1、CC攻击原理
HTTP Flood 俗称CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,前身名为Fatboy攻击,也是一种常见的网站攻击方法。是针对 Web 服务在第七层协议发起的攻击。攻击者相较其他三层和四层,并不需要控制大量的肉鸡,取而代之的是通过端口扫描程序在互联网上寻找匿名的 HTTP 代理或者 SOCKS 代理,攻击者通过匿名代理对攻击目标发起HTTP 请求。匿名代理服务器在互联网上广泛存在。因此攻击容易发起而且可以保持长期高强度的持续攻击,同样可以隐藏攻击者来源避免被追查。
2、HTTP/CC 攻击的特点:
HTTP/CC 攻击的 ip 都是真实的,分散的
HTTP/CC 攻击的数据包都是正常的数据包
HTTP/CC 攻击的请求都是有效请求,且无法拒绝
HTTP/CC 攻击的是网页,服务器可以连接,ping 也没问题,但是网页就是访问不了
3、简易CC攻击防御策略
确定Web服务器正在或者曾经遭受CC攻击,那如何进行有效的防范呢?
(1)取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是“www.abc.com”,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标。
(2)域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。
(3)更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。
(4)屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP,就可以在防火墙中设置屏蔽该IP对Web站点的访问,从而达到防范攻击的目的
二、接下来再来总结一下DDOS攻击:
1、DDoS攻击原理:
通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
2、DDOS攻击(流量攻击)防御步骤:
其实说到最让站长头疼的事情,莫过于DDOS[分布式拒绝服务攻击]。当攻击者进行DDOS攻击时,很多站长都会说“随他玩吧,等玩够了就不会攻击了” 这样的思路是对的,但又是致命的,不进行任何的补救,坐以待毙,是最大的忌讳。
但是对于真实中的DDOS攻击,完全杜绝目前是不可能的,但是我们可以采用一些简易的处理方法如下:
1、使用工具:DDoS deflate,自动查封IP。
2、解析域名到127.0.0.1 让攻击方自己攻击自己[代价.网站不可访问]。
3、关闭网站的nginx 或者IIS,等攻击过后再打开。
4、换高防服务器(首页使用静态页提高处理器速度)。
5、随他玩吧,等玩够了就不会攻击了。
6、有条件的朋友,可以考虑做cdn加速。
最后李海博客在总结一下,对付网站攻击是一个系统工程,想仅仅依靠某种系统或产品防住攻击是不现实的,可以肯定的是,完全杜绝CC或DDOS目前是不可能的,但通过适当的措施抵御90%的攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御攻击的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了攻击。
发表评论