百独托管7500 紫田网络超高转化播放器收cps[推荐]速盾CDN 免实名免备防屏蔽阿里云 爆款特卖9.9元封顶提升alexa、IP流量7Q5团队
【腾讯云】中小企福利专场【腾讯云】多款产品1折起高防 随时退换 好耶数据小飞国外网赚带你月入万元炎黄网络4H4G10M 99每月
香港带宽CN2/美国站群优惠中客数据中心 服务器租用联盟系统移动广告平台 中易企业专场腾讯云服务器2.5折九九数据 工信部正规资质
腾讯云新用户大礼包代金券高价收cpa注册量高价展示【腾讯云】2核2G/9.93起租服务器找45互联 随时退换阿里云 短信服务 验证秒达

[国内信息] 防火墙、CDN、WAF等防御CC攻击的几种方式? [复制链接]
查看:97 | 回复:2

153

主题

239

帖子

11

积分

落伍者(一心一意)

Rank: 1

贡献
61
鲜花
1
注册时间
2018-7-11

落伍手机绑定落伍微信绑定

发表于 2018-9-20 21:50:37 | |阅读模式 来自 中国广东东莞
一,防御方式
1)JavaScript方式输出入口
演示可以看下面这张图:

第一次访问的时候,不是直接返回网页内容,而且返回这段JS程序。
作用就是计算出入口变量的值,然后在访问的网址后面加上类似于”?jdfwkey=hj67l9″的字串,组合成新的网址,然后跳转,当防火墙验证了jdfwkey的值(hj67l9)是正确的之后,就放行,一段时间内就不会再出这个判断程序的页面。

2)301或者302转向方式输出入口
原理和1类似,区别在于把入口直接输出在了HTTP头部信息里,不重复叙述了。

2.5)还有一些把入口通过其他方式输出的,比如cookie,类似于1和2,原理都是在第一次访问的时候设置一道槛。这个就不单独计算为一条了。

3)屏蔽代理
由于一部分的CC攻击是利用代理服务器发起的,所以有些时候防CC会屏蔽掉带x-forward-for这个值的IP,对匿名代理无效。

4)判断速率
由于CC攻击是持续的发起请求,所以发起攻击的IP在单位时间内的请求数量会明显比正常多出很多,通过把请求频率过高的IP屏蔽掉来防御。

5)验证码
这个基本是最后的无敌大招了,必须在用户输入验证码后才能访问。

二,防御效果(突破方式)
1中的防护方式用的最早并且用的最多的是金盾防火墙。也正是由于用的人太多了,市面上已经有突破金盾防火墙的软件在出售,原理就是通过JS解析引擎计算出jdfwkey的值。

突破2的方式更简单,和1差不多,只不过是直接在HTTP头中,连JS引擎都省了。

3无法硬性突破,也就是说,如果屏蔽了带x-forward-for的IP,那么它就不可能访问到。

突破4的方式就是限制请求速度,但是这对于攻击者是一个挑战,限制单个攻击源的请求速度,并且保证攻击效果,这就要求攻击者拥有更多倍的攻击源(肉鸡)。

对于5,验证码识别是个大话题,目前阶段几乎不可能应用到CC攻击中,未来也不太可能。但是网络上有很多的打码平台,如果和这些平台对接的话,人工识别验证码,就OVER了(应该不会有人去搞,太麻烦)。

对于所有的防护方式,如果是把网站域名解析到了别处,通过其他机器转发请求来防御CC攻击流量的(比如CDN),都可以通过添加HOST值的方式将流量发到真实机器上,使这些防护失效。找查网站真实IP的方法很多很复杂,不能保证100%都能找得到,本文不做叙述。

三,负作用
有些IP,我们会要求它一直可以访问到网站内容,比如蜘蛛,比如交易类网站的支付宝异步通知。
但是收集这些IP,几乎是无法100%准确的收集到的(可能有人会想到useragent,一句话:攻击者可以伪造)。

下面要讲的,就不再考虑上述的这个问题了。

对于1和2,对访客几乎不会造成影响,判断过程是由浏览器自动完成的。

对于3,由于个别的网络环境,在没有使用代理的情况下,也会在浏览器访问时强行加上x-forward-for的值,最终的导致的就是这个访问无法访问。其实在现在这个年代,除了CC攻击中使用的代理IP外,剩的带x-forward-for的IP,几乎都是这样的情况,也就是访客本地网络环境强加上的。早些年设置代理主要是因为那个时候网速差,用于提高速度。现在搬梯子时设置的SSH代理一般不会加上x-forward-for。

对于4,可能会造成误封。而且这个判断攻击的阀值也没法精确的设置,只能凭经验以及分析网站的具体情况。

对于5,对用户体验会产生影响,并且长期下去,对网站形象也会产生影响。

总结下来就是,几乎所有方式,都会产生或多或少的负作用,所以,任何一种防护方式,在没事的时候不要开,只在被攻击的时候开启。

封 http_user_agent 屡试不爽
偶尔有useragent也随机的cc攻击,可以封 http_refferer,总归有共同点,通过tail日志几秒就看得出来
nginx一个简单的if判断return一个503之类,或者apache一个简单的deny配置
一般一分钟内搞定

具体的应该是ECS+SLB+百度cdn

一些防CC攻击手段方法,对搜索引擎并不友好。


四,什么样的网站容易被CC攻击
在我处理过的CC攻击中,主要消耗的是CPU和内存,通常在带宽被占满前CPU和内存已经爆掉。
而对于静态网站,也就是生成HTML页面的网站,静态请求占用的CPU和内存是极低的,所以几乎不太可能出现生成HTML后被CC攻击挂掉的情况。
所以,被CC的主要都是动态网站,比如Discuz,Wordpress等。


五,都是什么人在攻击
1)无聊恶作剧
2)打击报复
3)敲诈勒索
4)同行恶意竞争


六,结尾
今天遇到的一起攻击事件,某网站被敲诈1万块(也就是前文中的截图,网站有金盾防护,但是被肉鸡穿透)。于是理了理思绪,写下了这些经验之谈,与大家分享。

国内广东机房高防IP,境外多地区机房免备案,提供高速网络服务器租用,不限制内容,极速上架,如有需求,疑问欢迎咨询了解锐讯小姜QQ:2885389756 / 2627302720 咨询电话:13829138728 锐讯小姜为您服务
国内广东电信机金盾防御,海外多地区机房免备案,不限流量,不限内容,个人Q:2627302720    企业Q:288538 ...

118

主题

1万

帖子

39

积分

落伍者(一心一意)

Rank: 1

贡献
243
鲜花
3
注册时间
2017-7-18

落伍手机绑定落伍微信绑定

发表于 2018-9-21 09:57:09 | 来自 中国河南郑州
【华中地区大带宽服务器限时特价】
河南移动:L5630*2/16G/1T/30M 限时特价299
河南移动:L5630/16G/1T/100M=700/月
河南移动:E5-2450*2/32G/2T/100M=800/月
移动G口:L5630/16G/1T/1000M 限时特价5000
河南BGP:L5630*2/16G/1T/10M=599/月
河南BGP:E5-2450*2/32G/2T/10M=899/月

【江苏高防服务器,三线BGP+高防】
江苏电信:L5630*2/32G/500G/50G防御/20M=599/月
江苏电信:E5-2450*2/32G/1T/100M/50G防御 限时特价899
江苏100G高防电信:L5520*2/16G/1T/20M=999/月
江苏100G高防双线:L5520*2/16G/1T/2IP/20M=1099元/月
江苏100G高防三线BGP:L5520*2/16G/1T/1IP/20M=1599元/月

提供7×24小时免费专业技术售后服务
更多地区和配置请联系qq:83567425
独立服务器出租-现机交付、7*24H售后维护。qq83567425

351

主题

5729

帖子

189

积分

落伍者(一心一意)

Rank: 1

贡献
119
鲜花
0
注册时间
2010-8-13
发表于 2018-9-21 10:31:19 | 来自 中国湖南湘潭

独享高防-性价比之王
200G超强防御  30M独享带宽
网站无视cc  BGP高防线路
立即购买只需9元/3个月
江苏泰州BGP三线高防
50M独享  120G防御 799起
官网:www.9000idc.com
咨询联系:2880671562
快乐时光
论坛客服/商务合作/投诉举报:2171544 (QQ)
落伍者创建于2001/03/14,本站内容均为会员发表,并不代表落伍立场!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
落伍官方微信:2030286 邮箱:(djfsys@gmail.com|tech@im286.com)
© 2001-2014

浙公网安备 33060302000191号

浙ICP备11034705号 BBS专项电子公告通信管[2010]226号

  落伍法律顾问: ITlaw-庄毅雄

手机版|找回帐号|不能发帖?|Archiver|落伍者

GMT+8, 2024-3-29 03:29 , Processed in 0.113842 second(s), 34 queries , Gzip On.

返回顶部