如果是网站被攻击的话,尤其是遭到CC攻击时,那我们该怎么做CC防护呢?想要防护CC攻击,那么就有必要先了解CC攻击的原理及应对CC攻击的常用办法。
CC攻击的原理
CC攻击是DDOS攻击的一种,是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向受害主机不停访问,造成服务器资源耗尽,一直到宕机崩溃。而攻击者一旦发送请求给代理后就主动断开连接,因为代理并不因为客户端这边连接的断开就不去连接目标服务器,因此攻击机的资源消耗相对很小,而从目标服务器看来,来自代理的请求都是合法的。
CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求,如数据库查询等,导致服务器进行大量计算而很快达到自身的处理能力而形成DOS。但DDoS是针对IP的攻击,而CC攻击的是网页;DDoS可以用硬件防火墙来过滤攻击,CC攻击本身的请求就是正常的请求,硬件防火墙对他起不到很好的CC防护效果。
应对CC攻击的常用办法
一、限制代理的访问
因为一般的代理都会在HTTP头中带X_FORWARDED_FOR字段,但也有局限,有的代理的请求中是不带该字段的,另外有的客户端确实需要代理才能连接目标服务器,这种限制就拒绝了这类合法客户。
二、网站内容静态化
静态内容可以极大程度的减少系统资源消耗,也就破坏了攻击者想要让服务器资源耗尽的目的,在一定程度上可以起到CC防护的效果。
三、使用云WAF
例如360安全卫士、百度云加速 思路很简单,就是用户访问你的域名时,会经过这类产品的代理扫描,发现问题直接拦下,没问题的话就把用户请求转到你的网站。这种方式的优点:就是安装配置快速,大公司产品保障好。
但也有弊端 :1、有绕过的风险 WAF对网站的保护主要是通过反向代理来实现,如果不经过这个代 理,自然就无法防护网站,所以,攻击者如果找到方法可以获取网站的IP,那么就可以绕过 WAF而直接攻击。2、网站访问数据不保密 如果您的网站访问数据属于保密信息,就不能使用WAF了。
四、区分web服务器端攻击者与正常访客
通过分析网站日志,基本可以分辨出哪个IP是CC攻击的 例如普通浏览者访问一个网页,必定会连续抓取网页的HTML、CSS、JS和图片等一系列相关文件,而CC攻击是通过程序来抓取网页,仅仅只会抓取一个URL地址的文件,不会抓取其他类型的文件 所以通过辨别攻击者的IP,进行屏蔽,就可以起到很好的CC防护效果。
五、限制IP连接数
一般正常的浏览者肯定不会在一秒内连续多次极快的访问同一个页面,可以配置web服务器,限定ip访问频率。
CC防护方式有很多,这里只列了几个常用的,但目前还没有统一而绝对有效的方法可以防护CC攻击,只能多种手段并用,可以多留意云安全类产品,关注最新的防护方式,选择最适合的方案。
4080
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
