使用科来网络分析系统检测CC攻击

菜鸟人飞 · 发表于 2012-1-18 12:41:46

一、什么是CC攻击

CC攻击是DDOS攻击的一个子类，它是一种专门针对Web网页的DDOS攻击。

CC攻击主要是模拟多个用户对目标网页进行连续访问，一般来讲，目标网页是那些需要大量数据库操作的页面，从而会大量耗费服务器的CPU资源，使服务器陷入瘫痪。

一般情况下，CC攻击只针对动态网页，原因如下：

静态网页不需要进行数据库查询，对服务器的资源占用非常少，所以CC攻击对静态网页的效果不明显。
对于需要大量数据库操作物动态网页，比如论坛的用户查看一个帖子，需要到数据库查询是否有查看帖子的权限，如果有权限，再显示出帖子的内容，而这些都需要大量的数据库操作，都会大量消耗系统的CPU资源，所以CC攻击针对动态网页的效果会非常显著。

现在的CC攻击，主要分为普通CC攻击、代理CC攻击、肉鸡CC攻击三种，而肉鸡CC攻击又成为攻击者的最爱。

普通CC攻击：攻击者在自己机器上，使用CC攻击软件，对目标网页进行CC攻击。
代理CC攻击：攻击者借助代理服务器，对目标网页进行CC攻击，达到隐藏自身的目的。
肉鸡CC攻击：攻击者首先控制大量肉鸡，然后使用CC攻击软件，给肉鸡下发攻击指令，对目标网页进行CC攻击。肉鸡来自互联网上四面八方，参与攻击的肉鸡越多，目标服务器将非常难于防御。

菜鸟人飞 · 发表于 2012-1-18 12:43:25

二、 CC攻击流量特征

CC攻击时，由于攻击者会模拟大量用户访问同一个URL，所以流量中会出现大量访问同一个URL的连接，且这些连接时间间隔非常小，几乎同时发起。

比如，攻击者的攻击目标是http://www.test.cn/forum.php?mod=viewthread&tid=19510&extra=page%3D1，一旦开始CC攻击，不论使用哪一种类型，服务器都会接收到访问 forum.php?mod=viewthread&tid=19510&extra=page%3D1的HTTP请求。

通过科来网络分析系统抓取服务器的通讯数据包，结合CC攻击的流量特征，可以分析出服务器是否在遭受CC攻击。

菜鸟人飞 · 发表于 2012-1-18 12:47:48

三、使用科来网络分析系统检测CC攻击

在科来网络分析系统2010中，查找CC攻击的步骤非常简单，大致步骤如下：

1、设置过滤器，只接受HTTP协议。由于CC攻击只针对Web网站，所以只捕获网络中的HTTP协议，这样可以减小数据干扰，提高分析效率。

注意：如果Web服务器使用的不是标准80端口，则可以在定制协议中，将端口加到HTTP协议中。方法是：定制协议->HTTP->修改，然后加上相应的端口号即可。

2、开始抓包。从协议视图可知，目前只抓取了网络中的HTTP数据，即访问网站的数据。

3、切换到日志视图，查看HTTP的日志信息，如下。

对日志视图的分析如下：
1) Web服务器在非常短的时间内接到大量连接请求，且请求的页面完全相同，都是根目录下的forum.php?mod=viewthread&tid=19510&extra=page%3D1。
2) 连接的发起时间非常集中，都在17:23:21~17:24:49范围内。
3) 连接的频率非常高，在不到90秒的时间内，发起了2364条连接请求。
4) 连接的客户端都不同，表示这些连接请求来自四面八方。

根据上述特征，可以确定Web服务器当前正在遭受CC攻击。

菜鸟人飞 · 发表于 2012-1-18 12:50:21

四、 CC攻击安全防御措施

对付CC攻击是一个系统工程，仅仅依靠某种系统或产品防住CC攻击DDOS是不现实的，完全杜绝CC攻击在目前也是不可能的。但通过相应的安全措施，可以提升服务器对CC攻击的防御能力，从而提高攻击者的攻击成本，使部分攻击者无法继续而放弃，也就相当于抵御住了部分的CC攻击。

1) 安装防DDOS攻击防火墙
安装专业的防DDOS防火墙（软件和硬件都可以，但如果条件允许，尽量选择硬件设备），并配置好防DDOS、CC攻击的安全策略。
出现CC攻击时，立即阻止攻击IP对服务器的访问，但如果是肉鸡CC攻击，阻止IP的效果不明显。这时可以阻止所有用户对被CC攻击页面的访问，以确保正常用户对其它页面的正常访问。

2) 尽量使用静态网站
CC攻击一般只针对动态页面，所以网站使用静态页面，能大大提升其安全性。

3) 采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品，确保网络设备具备较高的性能。

4) 充足的网络带宽保证
网络带宽直接决定了抵抗攻击的能力，如果可能，尽可能采用较高的网络带宽。

5) 高性能的服务器配置
在条件允许的情况下，尽量提升服务器的硬件配置，从而提升服务器抵御CC攻击的能力。服务器的配置中，最为关键的是CPU和内存。CPU建议采用至强双核CPU，内存使用DDR的高速内存，另外硬盘要尽量选择SCSI硬盘，网卡尽量使用3COM或Intel等知名名牌。

osx1969 · 发表于 2012-1-19 08:42:29

学习学习，大家新年快乐！

jiameng · 发表于 2012-1-30 14:12:19

everybody ~hands up~!

wingsky868 · 发表于 2012-1-30 21:26:09

很详细，不错，收藏了！