登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
使用科来网络分析系统检测CC攻击
返回列表
发帖
查看:
6962
|
回复:
6
使用科来网络分析系统检测CC攻击
[复制链接]
菜鸟人飞
菜鸟人飞
当前离线
积分
172
发表于 2012-1-18 12:41:46
|
显示全部楼层
|
阅读模式
一、 什么是CC攻击
CC攻击是DDOS攻击的一个子类,它是一种专门针对Web网页的DDOS攻击。
CC攻击主要是模拟多个用户对目标网页进行连续访问,一般来讲,目标网页是那些需要大量数据库操作的页面,从而会大量耗费服务器的CPU资源,使服务器陷入瘫痪。
一般情况下,CC攻击只针对动态网页,原因如下:
静态网页不需要进行数据库查询,对服务器的资源占用非常少,所以CC攻击对静态网页的效果不明显。
对于需要大量数据库操作物动态网页,比如论坛的用户查看一个帖子,需要到数据库查询是否有查看帖子的权限,如果有权限,再显示出帖子的内容,而这些都需要大量的数据库操作,都会大量消耗系统的CPU资源,所以CC攻击针对动态网页的效果会非常显著。
现在的CC攻击,主要分为普通CC攻击、代理CC攻击、肉鸡CC攻击三种,而肉鸡CC攻击又成为攻击者的最爱。
普通CC攻击:攻击者在自己机器上,使用CC攻击软件,对目标网页进行CC攻击。
代理CC攻击:攻击者借助代理服务器,对目标网页进行CC攻击,达到隐藏自身的目的。
肉鸡CC攻击:攻击者首先控制大量肉鸡,然后使用CC攻击软件,给肉鸡下发攻击指令,对目标网页进行CC攻击。肉鸡来自互联网上四面八方,参与攻击的肉鸡越多,目标服务器将非常难于防御。
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
楼主
|
发表于 2012-1-18 12:43:25
|
显示全部楼层
二、 CC攻击流量特征
CC攻击时,由于攻击者会模拟大量用户访问同一个URL,所以流量中会出现大量访问同一个URL的连接,且这些连接时间间隔非常小,几乎同时发起。
比如,攻击者的攻击目标是
http://www.test.cn/forum.php?mod=viewthread&tid=19510&extra=page%3D1
,一旦开始CC攻击,不论使用哪一种类型,服务器都会接收到访问 forum.php?mod=viewthread&tid=19510&extra=page%3D1的HTTP请求。
通过科来网络分析系统抓取服务器的通讯数据包,结合CC攻击的流量特征,可以分析出服务器是否在遭受CC攻击。
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
楼主
|
发表于 2012-1-18 12:47:48
|
显示全部楼层
三、 使用科来网络分析系统检测CC攻击
在科来网络分析系统2010中,查找CC攻击的步骤非常简单,大致步骤如下:
1、设置过滤器,只接受HTTP协议。由于CC攻击只针对Web网站,所以只捕获网络中的HTTP协议,这样可以减小数据干扰,提高分析效率。
注意:如果Web服务器使用的不是标准80端口,则可以在定制协议中,将端口加到HTTP协议中。方法是:定制协议->HTTP->修改,然后加上相应的端口号即可。
2、开始抓包。从协议视图可知,目前只抓取了网络中的HTTP数据,即访问网站的数据。
3、切换到日志视图,查看HTTP的日志信息,如下。
对日志视图的分析如下:
1) Web服务器在非常短的时间内接到大量连接请求,且请求的页面完全相同,都是根目录下的forum.php?mod=viewthread&tid=19510&extra=page%3D1。
2) 连接的发起时间非常集中,都在17:23:21~17:24:49范围内。
3) 连接的频率非常高,在不到90秒的时间内,发起了2364条连接请求。
4) 连接的客户端都不同,表示这些连接请求来自四面八方。
根据上述特征,可以确定Web服务器当前正在遭受CC攻击。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
楼主
|
发表于 2012-1-18 12:50:21
|
显示全部楼层
四、 CC攻击安全防御措施
对付CC攻击是一个系统工程,仅仅依靠某种系统或产品防住CC攻击DDOS是不现实的,完全杜绝CC攻击在目前也是不可能的。但通过相应的安全措施,可以提升服务器对CC攻击的防御能力,从而提高攻击者的攻击成本,使部分攻击者无法继续而放弃,也就相当于抵御住了部分的CC攻击。
1) 安装防DDOS攻击防火墙
安装专业的防DDOS防火墙(软件和硬件都可以,但如果条件允许,尽量选择硬件设备),并配置好防DDOS、CC攻击的安全策略。
出现CC攻击时,立即阻止攻击IP对服务器的访问,但如果是肉鸡CC攻击,阻止IP的效果不明显。这时可以阻止所有用户对被CC攻击页面的访问,以确保正常用户对其它页面的正常访问。
2) 尽量使用静态网站
CC攻击一般只针对动态页面,所以网站使用静态页面,能大大提升其安全性。
3) 采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品,确保网络设备具备较高的性能。
4) 充足的网络带宽保证
网络带宽直接决定了抵抗攻击的能力,如果可能,尽可能采用较高的网络带宽。
5) 高性能的服务器配置
在条件允许的情况下,尽量提升服务器的硬件配置,从而提升服务器抵御CC攻击的能力。服务器的配置中,最为关键的是CPU和内存。CPU建议采用至强双核CPU,内存使用DDR的高速内存,另外硬盘要尽量选择SCSI硬盘,网卡尽量使用3COM或Intel等知名名牌。
回复
使用道具
举报
osx1969
osx1969
当前离线
积分
0
发表于 2012-1-19 08:42:29
|
显示全部楼层
学习学习,大家新年快乐!
回复
使用道具
举报
jiameng
jiameng
当前离线
积分
0
发表于 2012-1-30 14:12:19
|
显示全部楼层
everybody ~hands up~!
回复
使用道具
举报
wingsky868
wingsky868
当前离线
积分
0
发表于 2012-1-30 21:26:09
|
显示全部楼层
很详细,不错,收藏了!
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2012-1-18 12:41:46
发表于 2012-1-19 08:42:29