CC攻击分析与新思路

www_ftp

现在最热门的就是CC攻击了，CC巧妙利用大量的代理，拖跨动态网站．防护难度之大，有目共睹．
现在的抗CC技术基本上就是过滤关键字，还有程序自身的防刷新技术．
分别简单分析一下，这两种技术，最后提出一个新的防护思路，一起分析：
过滤关键字，的确有一定的防护效果，可以有效保护动态网站服务器，对于小型CC攻击或加上服务器强大的处理能力，还是能挺的过去．此方法有以下缺点，一是互联网上的服务器复杂，有很多代理软件，每个代理软件都有自己的关键字，如果每个都过滤对速度影响之大，当然抓包分析，可以看出三次握手后，如果有关键字的话前几个包就包括你需要的关键字，这是优化处理，效果有限．二是有不少代理软件根本没有任何指示是代理的关键字，所以这部分代理就不能防范了，代理找的越多，几率越大．所以面对强大的CC攻击时，用户反应效果不好．如果有心人专找这种代理的话，是很可怕的事，也不能通过IP找到攻击着．

www_ftp

防刷新技术，有两种．一种是在地层，另一种是动态脚本中加入．这两种技术也都有局限性，地层防刷新，可以通过限制每秒或几秒通过SYN数，也可能对每个请求(URL)每秒不能通过多少个,进行限制的办法．这种方法也有一定的效果，但是很容易误报，用户不小多点了几个窗口就不能访问了．最后就是脚本中加入了，防刷新的功能，也是有一定的效果，可能也存在前边的问题．另外是攻击包已经到了服务器了，这时为每个代理只少查询了一次数据库了，如果代量多的话，一样也能拖跨服务器．

www_ftp

通过分析可知，每个方法都有一定的效果，可又都不是完美的解决CC的方案，其实并不是没有办法的，我们仔细想想可知，CC攻击有如下特点：
(1)攻击着为了攻击动态网站，都是用了专用的CC攻击工具，此工具必须能比较快的建立三次握手，并且能快速的断开．
(2)必须借助大量第三方的代理服务器．

我们首先分析代理服务器，代理服务器既然是第三方的，不是CC攻击者的，所以呢代理服务器的行为是固定的，就是CC攻击着不能改变其功能，只能被动使用．通过代理服务器的原理可知，他就是把用户发来的请求进行解析，转发出去，等待服务器返回数据做个备份，下次再有请求时，直接返数据．就是只有转发，缓存网页的做用，没有对脚本执行分析的作用(这点很重点)．
再次分析攻击软件的特点，攻击软件只是与代理建立三次握手，发出个GET请求就断开了，省下的就又代理完成，为什么这么做请看CC攻击作者说明．本身对脚本也没有执行分析的作用(这点很重要)．
我们反过来看看，我们正常的访问，访问动态网站都是用IE等有分析执行功能的浏览器（这点很重要）．
好，我们知道这些特点，下边就是怎么利用这个特点进行防护．

www_ftp

当我们的防火墙与代理完成三次握手后，代理会向服务器发出GET请求，这时我们的防火墙截获此包，然后替服务器对代理服务器进行应答，这个应答是一个转向脚本，告诉代理服务器你访问网站在别一个地方，同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据（防止被解密），等待这个代理再次发出我们要求的这个转向请求，如果验证加密的数据是对的，就发个服务器，完成实际的请求（这地方有个seq包同步问题，很好解决）．刚才发到的包是攻击软件发出的，他就不会就浏览器一样，正确解释执行这个加密脚本．大体思想就是这样的．

好处，一是不依靠有限的关键字，漏掉部分代理．二是并不武断拒绝一切代理，只要不是攻击，正常的用户是可以用代理访问的．

好了，就写这么多吧，可能有点乱，思路大体是这样的．

benjiam

当我们的防火墙与代理完成三次握手后，代理会向服务器发出GET请求，这时我们的防火墙截获此包，然后替服务器对代理服务器进行应答，这个应答是一个转向脚本，告诉代理服务器你访问网站在别一个地方，同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据（防止被解密），等待这个代理再次发出我们要求的这个转向请求，如果验证加密的数据是对的，就发个服务器，完成实际的请求（这地方有个seq包同步问题，很好解决）．刚才发到的包是攻击软件发出的，他就不会就浏览器一样，正确解释执行这个加密脚本．


如何限制 时效问题   这个应答是一个转向脚本，告诉代理服务器你访问网站在别一个地方，同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据（防止被解密），

如果有大量的请求。防护 服务器本身会积累很多 这样的 session   这种方法和普通的session 方法没有实质上的区别。
只是把session 校验层做在了http 服务器以外. 甚至加大了 防护层与 http 服务器 交互。

这样只是把处理的瓶颈从http 服务器 转到了 防护服务器上。 问题没有更本解决吧

www_ftp

首先防护服务器本身不记录session的，不会积累的．二是如果你对一个代理验证了是具有攻击行为，完全在一定时间内封掉此代理的IP就可以．三是session包在没有验证之前，不会发到http服务器上去，所以防护层与http之间没有无效的交互．

zjzf_1

虽然我没看明白 但是我帮你顶一下

最好放攻击的理论 就是网拔技术

[ 本帖最后由 zjzf_1 于 2006-1-5 12:05 编辑 ]

www_ftp

呵呵，只是一种思路，就是验证是IE发出的请求，还是用攻击软件发出的请求．

www_ftp

原帖由 zjzf_1 于 2006-1-5 12:01 发表
虽然我没看明白 但是我帮你顶一下

最好放攻击的理论 就是网拔技术

呵呵，是呀。绝对防是不可能的，只是增大攻击着的难度，在有限的时间内或现有的条件下很难得逞．如果真的放掉了，也能争取时间，抓到他．开发抗ddos这东西，比开发防火墙难太多了．

platinum

可否解释一下什么是“网拔技术”吗？
我只知道“网闸”，“网拔”我没查到是什么