Board logo

标题: [原创]CC分布式拒绝服务攻击临时解决方案 [打印本页]
作者: 黑色叶子    时间: 2005-8-9 17:22     标题: [原创]CC分布式拒绝服务攻击临时解决方案

[这个贴子最后由黑色叶子在 2005/08/09 05:33pm 第 2 次编辑]

笔者认为
    CC是利用代理来模拟多IP,多人来访问网站来达到耗尽对方网站资源或着IIS的攻击模式。目前威力巨大。在没有更有效的方式防范之前,请使用以下方式可以非常大的来防止CC攻击
    1.在网站每个页面中加如防刷新代码(不太现实)
    2.打开IP安全策略,拒绝从远程80 1080 1081 8080 8081端口连接本地的80端口

作者认为:
对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击,代理在转发数据的时候会向HTTP服务器提交一个x-forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿名的,就是说会发送x-forward-ip的代理。
作者: Jesse    时间: 2005-8-9 18:37     标题: [原创]CC分布式拒绝服务攻击临时解决方案


近来经常听到圈子里的朋友跟我提到CC这种攻击
见不到虚假ip
见不到特别大的流量
但无法进行正常连接
传说一条adsl 足以搞掂一台高性能服务器
据可靠消息 重庆电信的很多游戏服务器虽在黑洞之下但饱受CC之苦
本人只是耳闻并没有机会亲历
我在google搜索
CC相关内容很少
XFOCUS给出了一个什么CCsource作者是bigboyq
这里是他的blog http://blog.n-ku.com/blog.asp?name=bigboyq
我粗略的看了下CCsource这个东西
他的基本原理就是 攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy)  向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主
机拒绝服务( Denial of Service )
这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service )
与典型的分布式拒绝服务攻击不同 攻击者不需要去寻找大量的傀儡机 代理服务器充当了这个角色
bigboyq针对自己的CC提出了解决办法我引述原文:
"对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击,代理在转发数据的时候会向HTTP服务器提交一个x-
forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿
名的,就是说会发送x-forward-ip的代理。"
简单的说bigboyq的这个CC攻击器的实现 可以通过特征过滤的办法 有效的解决
我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。
这说明这些案例中攻击者使用的CC并不是bigboyq写的CC,但据我个人估计很可能CC攻击都是用了同样的原理。
借助的可能是SOCKS5 proxy或者SOCK4 proxy。
这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数。造成拒绝服务。
例如很多apache连接数不过是512或者1024这是很容易造成DOS。

本贴意在抛砖引玉 希望行家们提供更准确地信息 揭开CC神秘的面纱
作者: 慕容豪情    时间: 2005-8-9 19:20     标题: [原创]CC分布式拒绝服务攻击临时解决方案

在asp头加上这条一般就可以很好的防御CC的攻击了 <% if Request.ServerVariables("HTTP_X_FORWARDED_FOR")>"" then response.end %>
作者: 慕容豪情    时间: 2005-8-9 19:23     标题: [原创]CC分布式拒绝服务攻击临时解决方案

碰到CC攻击请把下面的代码放做成conn.asp,原理大家可以自己研究 <% Dim fsoObject Dim tsObject dim file if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then response.write "系统维护中" response.end end if Set fsoObject = Server.CreateObject("Scripting.FileSystemObject") file = server.mappath("CCLog.txt") if not fsoObject.fileexists(file) then fsoObject.createtextfile file,true,false end if set tsObject = fsoObject.OpenTextFile(file,8) tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now() Set fsoObject = Nothing Set tsObject = Nothing response.write "系统维护中." %>
作者: 黑色叶子    时间: 2005-8-9 22:34     标题: [原创]CC分布式拒绝服务攻击临时解决方案

黑海今天下午也受到CC攻击,当我做了我说的解决方案,就没有问题了,但是这也只能解决部分的问题。因为有可能部分代理不走我写的端口
作者: 黑色叶子    时间: 2005-8-9 22:35     标题: [原创]CC分布式拒绝服务攻击临时解决方案

下面引用由慕容豪情2005/08/09 07:20pm 发表的内容: 在asp头加上这条一般就可以很好的防御CC的攻击了 <% if Request.ServerVariables("HTTP_X_FORWARDED_FOR")>"" then response.end %>
对于PHP主机是没有用的,没有PHP的解决方案,而且这个解决起来非常烦琐
作者: skyxhc    时间: 2005-8-10 04:27     标题: [原创]CC分布式拒绝服务攻击临时解决方案

php提供几个思路 1
  1. <?
  2. if (&#36;{"HTTP_X_FORWARDED_FOR"}>"")
  3. {
  4. exit();
  5. }
  6. ?>
复制代码
2 可以参考"Discuz2.0防DDOS能力的方法"方法来试试 "Discuz2.0防DDOS能力的方法"方法,baidu.com或者说google可以找到很多....
作者: 慕容豪情    时间: 2005-8-11 11:47     标题: [原创]CC分布式拒绝服务攻击临时解决方案

明白了
作者: 青蛙    时间: 2005-9-5 20:34     标题: [原创]CC分布式拒绝服务攻击临时解决方案

我记得上次唐山事件中的黑客自己所写一款工具中好象利用了cc技术
作者: 黑色叶子    时间: 2005-9-5 21:02     标题: [原创]CC分布式拒绝服务攻击临时解决方案

CC算不得什么技术,只是一多取胜



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2