伺服器CC攻擊原理與預防CC攻擊的思路

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

CC攻擊的基本原理

CC攻擊利用代理伺服器*向網站發送大量需要較長計算時間的URL請求，如資料庫查詢等，導致伺服器進行大量計算而很快達到自身的處理能力而形成DOS。 而攻擊者一旦發送請求給代理後就主動斷開連接，因為代理並不因為用戶端這邊連接的斷開就不去連接目標伺服器。 因此攻擊機的資源消耗相對很小，而從目標伺服器看來，來自代理的請求都是合法的。

以前防CC攻擊的方法

為防範CC，以前的方法一個是限制每個IP的連接數，這在位址範圍很廣闊的情況下比較難實現;二是限制代理的訪問，因為一般的代理都會在HTTP頭中帶 X_FORWARDED_FOR欄位，但也有局限，有的代理的請求中是不帶該欄位的 ，另外有的用戶端確實需要代理才能連接目標伺服器，這種限制就會拒絕一些正常使用者訪問。

CC攻擊用硬防難防住

CC攻擊比DDOS攻擊更可怕的就是，CC攻擊一般是硬防很難防止住的。

個人分析原因有三：

一、因為CC攻擊來的IP都是真實的，分散的;

二、CC攻擊的資料包都是正常的資料包;

三、CC攻擊的請求，全都是有效的請求，無法拒絕的請求。

防CC攻擊思路

防CC有效性在於攻擊方不接受伺服器回應的資料，發送完請求後就主動斷開連接，因此要確認連接是否是CC，伺服器端不立即執行URL請求命令，而是簡單的返回一個頁面轉向的回應，回應中包含新的URL請求位址。 如果是正常訪問，用戶端會主動再次連接到轉向頁面，對使用者來說是透明的;而對於CC攻擊者，由於不接收回應資料，因此就不會重新連接，伺服器也就不需要繼續進行操作。

具體實現

具體實現的關鍵在於轉向的URL如何構造，‘反代web’設計的方法是增加一個「值」，即在原URL請求的最後面添加一個獨一無二的值，文本形式，作為URL的一部分;當包含該值的URL重新返回時，先檢查該值是否合法。 如果合法，則說明該URL是合法的再次連接，將URL中的值部分抹去，恢復為原始的URL請求再發給伺服器進行正常訪問;否則拒絕該URL請求。

「值」可以千變萬化的設置，非常靈活。 使用者可以根據需要進行設定。

作轉向所採用的方式也非常靈活。 同時，轉向可設為自動轉向或手動轉向。

總結

防火牆防CC的辦法就是封ip，有可能封掉正常訪問使用者的ip。

CC是HTTP協定的攻擊，不是tcp/ip，‘反代web’是底層的web伺服器，更理解HTTP。

‘反代web’防CC 攻擊可以做到非常有效防禦，而且是零誤防，不會影響正常使用者的訪問。

‘反代web’防CC攻擊在web管理介面輕鬆點擊鼠設置規則即可，無需繁索的編寫代碼。

本文由絕世唐門-www.ndxs.cn分享，轉載請保留連結，謝謝。