CC攻击是什么?
CC攻击,全称Challenge Collapsar,也称为挑战黑洞攻击,是一种DDoS(分布式拒绝服务)攻击的常见类型。攻击者借助代理服务器生成指向受害主机的合法请求,实现对HTTP业务的攻击。这种攻击模式不需要太大的攻击流量,而是精确打击服务端业务处理瓶颈,如大量数据运算、数据库访问、大内存文件等。
CC攻击的原理
CC攻击算得上是应用层的DDoS,而且是经过TCP握手协议之后,CC的攻击原理很简单,攻击者会控制某些主机不停地发送大量数据包给目标服务器,就是模拟多个用户对一些资源消耗较大的页面不断发出请求,从而造成服务器资源耗尽,直至宕机崩溃。当服务器一直都有处理不完的大量数据请求时,服务器资源浪费过多,就会造成堵塞,而正常用户的访问也会被终止,网站陷入瘫痪状态。
CC攻击具有一定的隐蔽性,被攻击者通常无法看到真实的源IP和特别大的异常流量,但服务会无法进行正常访问。
举个栗子:
你经营着一家餐厅,通常情况下,客人会通过电话来预定座位。平时一切正常,直到一天,餐厅遭受了一场恶作剧。
1.大量虚假预定(大量并发请求)
有一伙人不断地打电话来预定座位,但是这些预定并不是真实客户,而是一个团伙恶意发起的。
2.电话线路忙碌(资源消耗)
由于大量虚假电话,餐厅的员工不得不一直接听这些电话。真正有需求的客户反而无法打通电话进行真实的预定。
3.服务中断(目标服务瘫痪)
餐厅员工被这些虚假电话占据了所有时间,导致真正的顾客被忽视。即使真正客户到访,由于员工过于忙碌应对电话,服务质量也大大降低。
4.资源耗尽
餐厅资源(员工和电话线路)被这些恶意的预定请求耗尽,无法为真正的客户提供服务。
5.无法辨别真伪
一开始,餐厅的员工无法分辨哪些是真实的,哪些是虚假的。因为虚假的预定看起来像是普通客户的电话。
6.营业损失
由于无法接待真实的客户,餐厅的收入遭到了损失。同时,餐厅的声誉也因为无法提供有效的服务而受损。
在这个例子中,餐厅代表被攻击的网站或者服务器,虚假预定代表CC攻击中的伪造请求,而餐厅的员工和电话线路代表服务器的处理能力和带宽。这种恶作剧导致餐厅无法正常运营,就像CC攻击使网站或服务器因资源耗尽而无法为真实的用户提供服务一样。
CC攻击的目标
CC攻击(Challenge Collapsar)主要针对网络服务和应用,尤其是那些对外提供服务的网站和在线平台。这种攻击方式的主要目标包括:
1.网站和Web应用:
公共可访问的网站和Web应用,尤其是流量大、用户多的网站,是CC攻击的常见目标。这包括电子商务网站、新闻门户、社交媒体平台、政府网站等。
2.API端点:
提供外部服务的API端点也可能成为CC攻击的目标。攻击者可能针对特定的API功能发起攻击,尤其是那些处理复杂或敏感数据的端点。
3.登录页面和表单:
网站的登录页面和各种提交表单(如搜索框、反馈表、注册页面等)由于需要进行用户身份验证或数据处理,常常成为CC攻击的焦点。
4.基础设施组件:
包括服务器、负载均衡器和数据库在内的基础设施组件,尤其是那些关键的、负载较高的组件,也可能是CC攻击的目标。
5.云服务和平台:
使用云服务和平台的企业和应用也可能成为CC攻击的目标,特别是当攻击者试图利用云资源的弹性特性来增加攻击效果时。
6.金融机构和支付网关:
金融机构、在线支付平台和交易网站等,由于涉及金钱交易,也是CC攻击的高风险目标。
7.政府和教育机构网站:
政府网站和教育机构的在线服务,由于其公共性质和服务重要性,也可能成为攻击者的目标。
CC攻击的目标往往是那些对外提供重要服务、拥有大量用户或处理敏感信息的网络实体。攻击者的目的通常是通过耗尽这些服务的资源来干扰其正常运作,从而达到拒绝服务的效果。
CC攻击的类型
肉鸡直接攻击、代理攻击和僵尸网络攻击。肉鸡直接攻击主要针对存在重要缺陷的WEB应用程序,这种情况相对较少见。
①肉鸡攻击:一般是黑客使用CC攻击软件,控制大量肉鸡,肉鸡可以模拟正常用户来访问网站,能够伪造合法数据包请求,通过大量肉鸡的合法访问来消耗服务器资源。
②僵尸攻击:类似于DDoS攻击,僵尸攻击通常是网络层面的DDoS攻击,web应用层面无法进行太好的防御。
③代理攻击:相对于肉鸡攻击,代理攻击更容易防御,代理攻击是黑客借助代理服务器生成指向受害网站的合法网页请求,从而实现DDOS和伪装。
CC攻击的危害
①访问速度很慢/中断:网站遭受CC攻击后,由于服务器资源被攻击流量占据,且带宽出现拥堵,网站打开的速度就变很慢。最直接的影响是服务中断。攻击可能导致目标网站或应用服务器过载,无法处理合法用户的请求,从而使服务部分或完全不可用。
②被搜索引擎降权:受CC攻击的影响,网站的访问会出现反常情况,导致网站无法被搜索引擎抓取,这就会影响网站在搜索引擎的排名。
③影响用户体验:一旦服务器资源被侵占,网站的加载速度就会延迟,这可能导致用户不满和流失,特别是对于电子商务网站来说尤其严重。
④性能下降:即使网站或服务没有完全崩溃,攻击也可能导致性能显著下降,如加载时间变长、响应迟缓。
⑤经济损失:对于商业网站,服务中断意味着直接的经济损失,包括丢失的销售收入和可能的赔偿费用。
⑥品牌和声誉损害:长时间的服务中断或频繁的攻击会损害企业或组织的品牌形象和市场信誉。
⑦资源浪费:企业需要投入额外资源来应对和缓解攻击,如增加带宽、购买额外的硬件或服务、增加安全防护措施等。
⑧安全风险:虽然CC攻击本身主要是服务拒绝,但它也可能掩盖更严重的安全威胁,如数据泄露或系统入侵等。
⑨合规性和法律问题:对于处理敏感数据的组织,如金融机构或医疗服务提供商,攻击可能导致合规性问题,甚至引发法律纠纷。
⑩技术挑战和管理操作压力:组织可能需要投入大量技术资源来增强系统的抗攻击能力,包括升级现有的硬件和软件,实施复杂的安全策略。管理层和IT团队可能面临巨大的压力,不仅要应对攻击本身,还要处理攻击后果,如客户支持、公关应对等。
如何识别CC攻击
1、流量异常检测:
监控网站或服务器的流量模式。突然的流量增加、流量峰值或非正常访问模式可能是CC攻击的迹象。
2、请求频率分析:
分析请求频率。如果某个IP地址或一组IP地址在短时间内发送了异常数量的请求,这可能是CC攻击。
3、资源使用监控:
监控服务器资源使用情况,如CPU、内存和带宽的使用率。资源使用突然飙升可能表明正在发生CC攻击。
4、服务器响应时间:
检查服务器响应时间。如果服务器响应变慢或出现超时错误,这可能是由于CC攻击导致的资源耗尽。
5、源IP地址分析:
分析请求的来源IP地址。CC攻击可能来自特定地理位置或网络的集中请求。
6、用户行为分析:
检查请求的用户行为模式。CC攻击的请求通常缺乏正常用户行为的多样性,可能表现出机械化或重复性的模式。
7、请求路径和参数检查:
检查请求的URL和参数。CC攻击可能会针对特定的URL或使用异常的查询参数。
8、错误率监控:
监控错误率,如HTTP 5xx错误。高错误率可能是服务器资源被过度使用的迹象。
9、安全工具和系统警报:
使用网络安全工具,如Web应用防火墙(WAF)、入侵检测系统(IDS)等,它们可以自动检测和报告可疑活动。
10、日志分析:
定期审查服务器和应用日志,寻找异常模式或可疑活动。
CC攻击常见防御手段
1、针对IP进行封禁,例如一个IP如果在一秒内请求大于100的,可以封禁掉(一般肉鸡的话,都N多IP,封禁不过来的)
2、针对被高频访问的URL做人机验证,譬如定制为10秒内访问超过100次的,需要进行真人验证,有效防止被刷(也需要你有足够的宽带,如果宽带不够早就卡死了)
3、使用一些高防CDN,隐藏服务器源IP,自动识别攻击流量,清洗后将正常访客流量回源到源服务器IP上,保障业务安全。
4、网站页面静态化,网站页面静态化可以较大程度的减少系统资源消耗,从而达到提高抗系统抗攻击能力(业务不同,成本高)。
5、更改Web端口,通常情况Web服务器都是通过80端口提供对外服务,所以黑客发起攻击的默认端口也是80端口,那么修改Web端口,可以起到防护CC攻击的目的。
6、取消域名绑定,黑客发起攻击时,很可能使用攻击工具设定攻击对象为域名,然后实施攻击,取消域名绑定后,可以让CC攻击失去目标,Web服务器的资源占用率也能够迅速恢复正常,因为通过IP还是可以正常访问的,所以对针对IP的CC攻击取消域名绑定是没用的。
7、完善日志,要有保留完整日志的习惯,通过日志分析程序,能够尽快判断出异常访问,同时也能收集有用信息,比如发现单一IP的密集访问,特定页面的URL请求激增等等。
8、更改域名解析,正常的cc攻击都是针对域名而发起的,这时我们可以把域名解析更改为127.0.0.1这个ip地址上,这个ip的作用是回送地址,如果把域名解析到这个ip上,cc攻击就很有可能会直接回流到攻击者自己的服务器上。
其他预防CC攻击的思路
1、使用高防服务器
选择带cc防御的高防服务器,例如德迅云安全高防服务器,能够5s发现恶意请求,10s快速阻断攻击,事前拦截、事后溯源、全方位防黑。CC方面会根据攻击特征,智能调取防CC特征库数据,AI智能调度匹配相关规则,阻断非正常访问,技术也会根据CC攻击的特征去抓包,能够有效防止CC攻击。
2、使用安全加速SCDN
安全加速(Secure Content Delivery Network,SCDN)是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络(CDN)或全站加速网络(ECDN)的用户,带cc防火墙底层拦截模式,拥有加密协议的解密功能,可以对443端口的加密协议攻击进行解密,做到精准有效拦截。
3、使用抗D盾
抗D盾(无视攻击)是新一代的智能分布式云接入系统,接入节点采用多机房集群部署模式,隐藏真实服务器IP,类似于网站CDN的节点接入,但是“抗D盾”是比CDN应用范围更广的接入方式,适合任何TCP 端类应用包括(游戏、APP、微端、端类内嵌WEB等)。用户连接状态在各机房之间实时同步,节点间切换过程中用户无感知,保持TCP连接不中断,轻松应对任何网络攻击。
1239
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
