免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3645 | 回复: 19

CC攻击分析与新思路 [复制链接]

论坛徽章:
0
发表于 2006-01-04 15:56 |显示全部楼层
现在最热门的就是CC攻击了,CC巧妙利用大量的代理,拖跨动态网站.防护难度之大,有目共睹.
现在的抗CC技术基本上就是过滤关键字,还有程序自身的防刷新技术.
分别简单分析一下,这两种技术,最后提出一个新的防护思路,一起分析:
过滤关键字,的确有一定的防护效果,可以有效保护动态网站服务器,对于小型CC攻击或加上服务器强大的处理能力,还是能挺的过去.此方法有以下缺点,一是互联网上的服务器复杂,有很多代理软件,每个代理软件都有自己的关键字,如果每个都过滤对速度影响之大,当然抓包分析,可以看出三次握手后,如果有关键字的话前几个包就包括你需要的关键字,这是优化处理,效果有限.二是有不少代理软件根本没有任何指示是代理的关键字,所以这部分代理就不能防范了,代理找的越多,几率越大.所以面对强大的CC攻击时,用户反应效果不好.如果有心人专找这种代理的话,是很可怕的事,也不能通过IP找到攻击着.

论坛徽章:
0
发表于 2006-01-04 16:08 |显示全部楼层
防刷新技术,有两种.一种是在地层,另一种是动态脚本中加入.这两种技术也都有局限性,地层防刷新,可以通过限制每秒或几秒通过SYN数,也可能对每个请求(URL)每秒不能通过多少个,进行限制的办法.这种方法也有一定的效果,但是很容易误报,用户不小多点了几个窗口就不能访问了.最后就是脚本中加入了,防刷新的功能,也是有一定的效果,可能也存在前边的问题.另外是攻击包已经到了服务器了,这时为每个代理只少查询了一次数据库了,如果代量多的话,一样也能拖跨服务器.

论坛徽章:
0
发表于 2006-01-04 16:32 |显示全部楼层
通过分析可知,每个方法都有一定的效果,可又都不是完美的解决CC的方案,其实并不是没有办法的,我们仔细想想可知,CC攻击有如下特点:
(1)攻击着为了攻击动态网站,都是用了专用的CC攻击工具,此工具必须能比较快的建立三次握手,并且能快速的断开.
(2)必须借助大量第三方的代理服务器.

我们首先分析代理服务器,代理服务器既然是第三方的,不是CC攻击者的,所以呢代理服务器的行为是固定的,就是CC攻击着不能改变其功能,只能被动使用.通过代理服务器的原理可知,他就是把用户发来的请求进行解析,转发出去,等待服务器返回数据做个备份,下次再有请求时,直接返数据.就是只有转发,缓存网页的做用,没有对脚本执行分析的作用(这点很重点).
再次分析攻击软件的特点,攻击软件只是与代理建立三次握手,发出个GET请求就断开了,省下的就又代理完成,为什么这么做请看CC攻击作者说明.本身对脚本也没有执行分析的作用(这点很重要).
我们反过来看看,我们正常的访问,访问动态网站都是用IE等有分析执行功能的浏览器(这点很重要).
好,我们知道这些特点,下边就是怎么利用这个特点进行防护.

论坛徽章:
0
发表于 2006-01-04 16:52 |显示全部楼层
当我们的防火墙与代理完成三次握手后,代理会向服务器发出GET请求,这时我们的防火墙截获此包,然后替服务器对代理服务器进行应答,这个应答是一个转向脚本,告诉代理服务器你访问网站在别一个地方,同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据(防止被解密),等待这个代理再次发出我们要求的这个转向请求,如果验证加密的数据是对的,就发个服务器,完成实际的请求(这地方有个seq包同步问题,很好解决).刚才发到的包是攻击软件发出的,他就不会就浏览器一样,正确解释执行这个加密脚本.大体思想就是这样的.

好处,一是不依靠有限的关键字,漏掉部分代理.二是并不武断拒绝一切代理,只要不是攻击,正常的用户是可以用代理访问的.

好了,就写这么多吧,可能有点乱,思路大体是这样的.

论坛徽章:
0
发表于 2006-01-05 10:20 |显示全部楼层
当我们的防火墙与代理完成三次握手后,代理会向服务器发出GET请求,这时我们的防火墙截获此包,然后替服务器对代理服务器进行应答,这个应答是一个转向脚本,告诉代理服务器你访问网站在别一个地方,同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据(防止被解密),等待这个代理再次发出我们要求的这个转向请求,如果验证加密的数据是对的,就发个服务器,完成实际的请求(这地方有个seq包同步问题,很好解决).刚才发到的包是攻击软件发出的,他就不会就浏览器一样,正确解释执行这个加密脚本.


如何限制 时效问题   这个应答是一个转向脚本,告诉代理服务器你访问网站在别一个地方,同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据(防止被解密),

如果有大量的请求。防护 服务器本身会积累很多 这样的 session   这种方法和普通的session 方法没有实质上的区别。
只是把session 校验层做在了http 服务器以外. 甚至加大了 防护层与 http 服务器 交互。

这样只是把处理的瓶颈从http 服务器 转到了 防护服务器上。 问题没有更本解决吧

论坛徽章:
0
发表于 2006-01-05 12:00 |显示全部楼层
首先防护服务器本身不记录session的,不会积累的.二是如果你对一个代理验证了是具有攻击行为,完全在一定时间内封掉此代理的IP就可以.三是session包在没有验证之前,不会发到http服务器上去,所以防护层与http之间没有无效的交互.

论坛徽章:
0
发表于 2006-01-05 12:01 |显示全部楼层
虽然我没看明白 但是我帮你顶一下

最好放攻击的理论 就是网拔技术

[ 本帖最后由 zjzf_1 于 2006-1-5 12:05 编辑 ]

论坛徽章:
0
发表于 2006-01-05 12:06 |显示全部楼层
呵呵,只是一种思路,就是验证是IE发出的请求,还是用攻击软件发出的请求.

论坛徽章:
0
发表于 2006-01-05 12:13 |显示全部楼层
原帖由 zjzf_1 于 2006-1-5 12:01 发表
虽然我没看明白 但是我帮你顶一下

最好放攻击的理论 就是网拔技术


呵呵,是呀。绝对防是不可能的,只是增大攻击着的难度,在有限的时间内或现有的条件下很难得逞.如果真的放掉了,也能争取时间,抓到他.开发抗ddos这东西,比开发防火墙难太多了.

论坛徽章:
0
发表于 2006-01-05 12:53 |显示全部楼层
可否解释一下什么是“网拔技术”吗?
我只知道“网闸”,“网拔”我没查到是什么
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP