CC攻擊原理與kangle預防CC攻擊思路

標籤：防cc攻擊   反向 Proxy   web server   反代   

CC攻擊的基本原理

    CC攻擊利用*代*理*伺服器向網站發送大量需要較長計算時間的URL請求，如資料庫查詢等，導致伺服器進行大量計算而很快達到自身的處理能力而形成DOS。而攻擊者一旦發送請求給*代*理*後就主動中斷連線，因為*代*理*並不因為用戶端這邊串連的斷開就不去串連目標伺服器。因此攻擊機的資源消耗相對很小，而從目標伺服器看來，來自*代*理*的請求都是合法的。

以前防CC攻擊的方法

    為防範CC，以前的方法一個是限制每個IP的串連數，這在位址範圍很廣闊的情況下比較難實現；二是限制*代*理*的訪問，因為一般的*代*理*都會在HTTP頭中帶 X_FORWARDED_FOR欄位，但也有局限，有的*代*理*的請求中是不帶該欄位的，另外有的用戶端確實需要*代*理*才能串連目標伺服器，這種限制就會拒絕一些正常使用者訪問。

CC攻擊用硬防難防住

    CC攻擊比DDOS攻擊更可怕的就是，CC攻擊一般是硬防很難防止住的。

原因有三：

一、因為CC攻擊來的IP都是真實的，分散的；

二、CC攻擊的資料包都是正常的資料包；

三、CC攻擊的請求，全都是有效請求，無法拒絕的請求。

Kangle防CC攻擊思路

    防CC有效性在於攻擊方不接受伺服器回應的資料，發送完請求後就主動中斷連線，因此要確認串連是否是CC，伺服器端不立即執行URL請求命令，而是簡單的返回一個頁面轉向的回應，回應中包含新的URL請求地址。如果是正常訪問，用戶端會主動再次串連到轉向頁面，對使用者來說是透明的；而對於CC攻擊者，由於不接收回應資料，因此就不會重新串連，伺服器也就不需要繼續進行操作。

具體實現

      具體實現的關鍵在於轉向的URL如何構造，kangle設計的方法是增加一個“值”，即在原URL請求的最後面添加一個獨一無二的值，文本形式，作為URL的一部分；當包含該值的URL重新返回時，先檢查該值是否合法。如果合法，則說明該URL是合法的再次串連，將URL中的值部分抹去，恢複為原始的URL請求再發給伺服器進行正常訪問；否則拒絕該URL請求。

      “值”可以千變萬化的設定，非常靈活。使用者可以根據需要進行設定。

      作轉向所採用的方式也非常靈活。同時，轉向可設為自動轉向或手動轉向。

總結

    防火牆防CC的辦法就是封ip，有可能封掉正常訪問使用者的ip。
    CC是http協議的攻擊，不是tcp/ip，kangle是底層的web伺服器，更理解http。

    Kangle防CC 攻擊可以做到非常有效防禦，而且是零誤防，不會影響正常使用者的訪問。

    Kangle防CC攻擊在web管理介面輕鬆點擊鼠設定規則即可，無需繁索的編寫代碼。

    如何設定防CC規則請參考：http: //www .kanglesoft.com/thread-7786-1-1.html