本文介绍了如何处理一种特殊的变异CC攻击,该攻击不会产生大量TCP连接,导致服务器CPU和负载跑满。技术团队通过深入分析数据包,发现了大量带有随机乱码的登录尝试,从而耗尽服务器资源。针对此攻击,他们制定了一套特殊策略,有效降低了CPU资源负载,实现了零误封的效果,成功解决了客户的问题。
市场上CC攻击大家应该是再熟悉不过了,CC攻击的原理就是攻击者利用木马控制各种电脑,不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。
近日我司用户就受到一种变异CC攻击,该CC不像传统CC会产生大量TCP连接,如果是光查看防火墙数据也是根本查看不出任何异常,用户也是辗转多家IDC未得到解决
并且被答复没有攻击并草草了事,后来客户租用我司服务器得到了完美解决。下面我们就来看下我司技术是如何处理这种变异CC攻击的。能加深大家对攻击的了解。
据客户反馈被CC攻击了,查看当前CPU和负载都是跑满情况的,这种情况基本上都是被CC导致的。
值班技术迅速反应查看防火墙,发现连接数并不高,也非常稳定不像是有被CC了的痕迹。
服务器上TOP查询是自身程序占用了全部CPU。
根据这种情况技术开始对这台服务器抓包进行分析数剧,发现一个IP有非常多的psh数据包,这种包是TCP三次握手成功后的传输包,不会产生大量的TCP连接。
这边对这些数据包逐一进行分析,查看到这一个数据包下面都有几十组随机乱码类似帐号密码报文。虽然抓包查看到只有几个IP在测试登录,但是一个IP每秒发送成百上千个随机账密,导致验证账号密码服务器无法响应那么多请求,服务器资源消耗殆尽,CPU跑高负载跑满。
因为这种CC比较特殊不像传统CC那样会产生大量的TCP连接数,一般的CC防护策略对这种CC来说根本就没有任何效果,还可能会导致正常玩家被拦截,找到原因后,技术立马针对这种特殊的CC攻击的指纹特征设立了一套特殊策略,完美解决了这个CC攻击的,效果非常显著,CPU资源负载直线降低,正常人马上能登陆,达到零误封效果,客户对效果非常满意。
扫一扫
547
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
