qq3250845

之前写过很多关于DDoS攻击的文章，而最近，我们的一个客户遭到了比DDOS还严重的攻击--DNS放大型攻击，攻击者对我们客户24小时持续发送四五百G的攻击流量，这种攻击大小足以使大型网络主机瘫痪。今天恒欣就来带大家深入了解一下什么是DNS放大型DDoS攻击？

深入了解DNS扩容DDoS攻击

DNS放大型攻击是攻击者放大他们可能针对潜在受害者的带宽量的一种方式。想象一下，你是一个攻击者，你控制一个能够发送100Mbps流量的僵尸网络。虽然这可能足以让某些网站脱机，但在DDoS领域这是一个相对微不足道的流量。为了增加攻击量，您可以尝试将更多受感染的计算机添加到僵尸网络中。这变得越来越困难。或者，你可以找到一种方法将你的100Mbps放大到更大的范围。

最初的放大型攻击被称为SMURF攻击。SMURF攻击涉及攻击者将ICMP请求（即，ping请求）发送到路由器的网络广播地址（即XXX255），该路由器被配置为将ICMP中继到路由器后面的所有设备。攻击者将ICMP请求的来源欺骗为目标受害者的IP地址。由于ICMP不包含握手，因此目标无法验证源IP是否合法。路由器接收请求并将其传递给位于其后面的所有设备。然后所有这些设备都响应ping。攻击者能够通过路由器后面的多个设备的倍数来放大攻击（即，如果路由器后面有5个设备，则攻击者能够将攻击放大5倍）。

SMURF攻击在很大程度上已成为过去。在大多数情况下，网络运营商已将其路由器配置为不中继发送到网络广播地址的ICMP请求。然而，即使放大攻击向量已经关闭，其他人仍然是敞开的。DNS放大攻击的向量有两个标准：（1）可以用欺骗的源地址设置查询（例如，通过不需要握手的ICMP或UDP等协议）；（2）对查询的响应明显大于查询本身。DNS是一种核心，无所不在的互联网平台，符合这些标准，因此已成为放大攻击的最大来源。

开放DNS解析器：互联网的祸根

到目前为止，我使用了几次的关键术语是“开放DNS解析器”。如果您运行递归DNS解析器，最佳做法是确保它仅响应来自授权客户端的查询。换句话说，如果您为公司运行递归DNS服务器并且您公司的IP空间是5.5.5.0/24（即5.5.5.0 - 5.5.5.255），那么它应该只响应该范围内的查询。如果查询从9.9.9.9到达，那么它不应该响应。

问题是，许多运行DNS解析器的人都将它们打开并愿意响应任何查询它们的IP地址。这是一个至少已有10年历史的已知问题。最近发生的事情是许多不同的僵尸网络似乎已经枚举了互联网的IP空间，以便发现开放的解析器。一旦发现，它们可用于发起重大DNS扩增攻击。

qq3250845

如果网站所在的服务器不是高防服务器，一旦遭遇DDoS攻击或大量的CC攻击，那么自己的网站很有可能会处于瘫痪状态，甚至会引起服务器所在的整个机房服务器受影响，自己的服务器则很有可能陷入“黑洞”或者机房管理员暂时封闭IP，给网站拥有者带来严重的影响。

一、网站为什么会遭遇DDoS攻击或CC攻击?

网站之所以会遭受DDos攻击和CC攻击，主要因素是来自于同行的竞争激烈，一些非法同行采用极端激进的竞争方式，往往会雇佣网络一些具有一定技术的程序人员恶意攻击，雇佣价格不高，攻击方式简单，攻击方便趁人之危，从中获取流量利益。有些小企业网站所用的服务器只是一般的服务器，性能和带宽一般，加上程序人员的维护不当，比如有些网站ping域名的时候，直接暴露网站所在服务器的IP，一旦被攻击方记录IP信息，便会锁定攻击服务器，导致服务器严重受影响。一些小企业或个人考虑到网站成本，不会使用价格高昂的高防服务器，如果处于同行竞争激烈的环境下，则是容易被攻击的对象。

二、网站DDos攻击和CC攻击常识普及

(1)DDoS攻击的原理是将提前预备好的多台服务器电脑联合起来作为攻击平台对一台或者多台设备发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。主控程序能在几秒钟内激活成百上千次代理程序的运行，此举会导致被攻击方网络资源严重超载，以至于网络瘫痪甚至设备死机。此结果无非是原来IP服务器无法再使用或者服务商为避免资源损失，关闭客户所使用的IP服务器。

(2)CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装!CC攻击者模拟多个用户(多少线程就是多少用户)不停的进行访问那些需要大量数据操作，需要大量CPU时间的页面，而多个或大量用户同时进行此举操作。这样导致CPU使用率达到100%，处于死机状态,无法再处理其他进程请求。

三、网站如何预防DDos攻击和CC攻击呢?

(1)：如果自己经济条件允许，可以使用高防高性能高速网络服务器!此类服务器性能好，宽带速度快，防御性也比较好，可有效防御DDoS和CC攻击!不过此类服务器价格高昂，一般只有大集团大企业才会使用，小型公司和个人望而却步!

(2)：隐藏自己的服务器IP，更改网站DNS，可以接入恒欣高防IP，立体式防御，ping自己的网站域名时不会显示自己的网站IP，也可以有效避免DDoS和CC攻击，但是此类网络产品虽然为免费产品，当往往也有流量上限，有时可能会失效，或暴不定时露自己的服务器IP，能够防住一般的DDoS攻击和CC攻击。不过确实大多数中小企业或个人使用的最佳选择!

(3)：做好网站程序和服务器自身维护!尽可能把网站做成静态页面!做好服务器漏洞防御，服务器权限设置，最好把数据库和程序单独拿出根目录，更新使用的时候再放进去，也可有效防御DDoS和CC攻击，不过此举操作较为麻烦!

以上就是介绍的DDoS攻击和CC攻击和防御,希望能给大家带来帮助!DDoS攻击和CC攻击属于一种恶意的操作技术手法，为程序界所不齿，也触犯了网络犯罪，抵御网络犯罪，维护网络安全，我们继续倡导和行动!

qq3250845

..............

qq3250845

.....................

qq3250845

网站的安全，是互联网永恒的话题，相信大家都看到过或者听说过高防、DDoS、CC等字眼，这次我们主要谈一谈CC防护，首先CC攻击有什么危害，有哪些攻击方式？其次它的原理到底是什么？最后应该如何进行采取有效措施？

CC攻击是DDoS攻击的一种变相攻击模式，黑客利用网络传输协议中三次握手的漏洞产生大量的无效链接，使资源被耗尽，最终导致主机服务不能正常运行而达到攻击目的。

当网站遭到CC攻击，会产生以下危害：

1、CC攻击后会导致网站访问速度异常缓慢，哪怕真实的用户访问量很少，打开速度也会很慢。

2、网站长时间被CC攻击，会导致网站访问异常，搜索引擎无法抓取，导致关键词排名受影响，网站访问量骤减，转化率大幅度降低。

3、正常访问的网站加载速度延迟都会消耗用户的耐心，最终导致用户跳出率极高，流失严重，损害网站品牌形象。

CC攻击的类型主要包括直接攻击，代理攻击，僵尸网络攻击三种

1、直接攻击：主要针对有重要缺陷的web应用程序，一般说来是程序写的有问题的时候才会导致这种情况，非常见类型。

2、代理攻击：具体是黑客操作一批代理服务器，然后每个代理同时发出多个请求到目标主机，并且在发出请求后立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时 目标主机会将响应这些请求的进程进行队列，这样一来正常请求将会被排后处理，这时就出现页面打开极其缓慢或者白屏。

3、僵尸网络：攻击有点类似于DDoS攻击，从web应用程序层面上已经无法进行CC防护。

以上攻击方式其实都是同样的原理，CC攻击主要就是黑客控制某些主机，然后不停地发大量数据包给对方服务器，造成服务器资源耗尽，一直到宕机崩溃。CC攻击主要是用来攻击页面的，模拟多个用户不停地进行访问那些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，就会导致网络拥塞，正常的访问被中止。

CC防护必不可少的两个步骤

第一步，降低被攻击的可能性

1、完善日志

尽可能完整保留访问日志。日志分析程序，能够尽快判断出异常访问，比如单一IP密集访问，或者特定url同比请求激增等。

2、优化代码

尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销。减少复杂框架的调用，减少不必要的数据请求和处理逻辑。程序执行中，及时释放资源，比如及时关闭mysql连接，及时关闭memcache连接等，减少空连接消耗。

3、还可以采取一些限制手段

比如对一些负载较高的程序增加前置条件判断，可行的判断方法如下：

a.必须具有正确的referer，可有效防止嵌入式代码的攻击；

b.同一session多少秒内只能执行一次。

c.必须具有网站签发的session信息才可以使用，可简单阻止程序发起的集中请求；

d.禁止一些客户端类型的请求，比如一些典型的不良蜘蛛特征；

第二步，被攻击时可采取的CC防护方式

1）IIS屏蔽IP

我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对web站点的访问，从而达到防范IIS攻击的目的。

2）取消域名绑定

取消域名绑定后web服务器的CPU能够马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不便，另外，对于针对IP的CC攻击它是无效的，就算更换域名黑客发现之后，黑客也会对新域名实施攻击。

3）更改web端口

一般情况下web服务器通过80端口对外提供服务，因此黑客实施攻击就以默认的80端口进行攻击，所以，可以修改web端口达到防CC攻击的目的。

遇到任何事情，解决方式都可以分为事前预防和事后补救两步。做好CC防护也是一样，不仅需要做好遇到攻击时的解决方案，更重要的是可以提前做好防御措施。未雨绸缪是首选，亡羊补牢也不晚，都可以降低CC攻击带来的损失。

qq3250845

长期以来，安全专家除了完善DDoS防护措施外，也一直在关注DDoS攻击日渐增大的规模和频率。据报道，在世界某些地方，任何时候都在经历着数千次攻击，因此，大型机构必须加强自己的防御措施，这对许多组织来说已经成为一项日常活动。在“NETSCOUT威胁形势报告”中，研究人员发现，攻击的频率在2017到2018年实际上呈下降趋势，但对于备受困扰的安全团队，这个消息带来的一丝安慰很快被另一个令人担忧的趋势抵消：攻击的规模出现了成倍增长，时常远远超过许多服务提供商认为安全的防御能力。DDoS已经进入TB时代。

       根据NETSCOUT的ATLAS安全工程和响应团队（ASERT）提供的资料，2018年上半年，最大的DDoS攻击规模比2017年同期增长了174%。实际上，2018年2月，北美某大型服务提供商遭到1.7TB的攻击，是有史以来最大规模的攻击。幸运的是，由于该客户的架构设计优良且采用分布式部署，并且做好了DDoS防护准备，结合其多层Arbor DDoS解决方案，他们得以成功缓解攻击，未造成服务中断。然而，这次攻击强调了一个新的事实：为应对300GB 范围内的攻击而设计的DDoS防护措施已经无法满足要求，甚至是具备1TB防御能力的基础设施也处于风险之中。
这次创纪录的攻击事件是2018年已经出现的memcached攻击的一个例子，之所以这样判断是因为它们利用用于加快网站数据访问速度的缓存服务器中的漏洞。Memcached是一款免费的开源软件，大量部署于云服务基础设施和企业网络中，具有增大带宽的效果这次攻击背后的开发者在memcached软件包中发现了一个设计漏洞，这让他们能够利用大量的服务提供商带宽构建和发起前所未有的大规模攻击。

   开源软件通常未经过足够的漏洞测试就急忙投放到市场中，供用户免费使用，由于开源软件不断扩散，可以说这种攻击不会在发生一次后就平息下来。安全团队应该会发现类似的漏洞攻击。随着攻击工具变得越来越复杂，新的攻击向量不断出现，攻击者发现发起更大规模且更有效果的攻击变得越发简单，而且成本更低。

攻击规模不断扩大的趋势突出了采用混合或分层防御措施（结合本地和云端缓解功能）的必要性。常见的攻击规模依然相对较小，通常可以采用本地解决方案（虚拟或设备）进行检测和缓解。但是，既然攻击者的能力已经达到了TB级别，就有必要具备能够缓解最大规模攻击的云端组件。混合解决的DDoS防护方案的优势在于云端防御实质上可以作为备用（与“常开”相对）措施，并在本地组件检测到超大规模攻击时立即启用。

在全球威胁情报功能的支持下，DDoS软硬件解决方案都会更加有效。利用这些数据，应对已知和新兴威胁的措施可以直接融入缓解产品。

多年来，我们从对威胁形势的分析中获得了一个重要启示：企业应该做好DDoS防护准备来应对新型DDoS攻击，因为这种攻击一旦出现就不会再消失。在TB规模的攻击出现的那一刻，它就将一直存在。

qq3250845

一部分网站和游戏，以及金融的企业网站负责人员对于流量攻击应该属于耳熟能详。对此问题一直也是他们最头疼的。因此在解决DDoS攻击和CC攻击防御的过程中，运用了WAF指纹识别架构去做相对应的权限策略，以此避免误封正常的用户访问请求。这里的WAF是什么呢？主要的特点有哪些呢？

WAF俗称WEB应用防火墙，也称应用级入侵防御系统。主要通过检测应用层数据对其应用进行控制或者是访问控制。简单说是经过执行对HTTP或者HTTPS的安全策略为Web应用提供防御的机制。同时WAF有云WAF，软WAF和硬WAF。

云WAF是用户不用在自己的网络中部署硬件设施或者是安装软件程序，主要利用DNS解析来实现对网站的安全防护。一般用户的请求都是先发送到云端节点进行检测。发现有异常的将会进行拦截，没有异常就将请求转发至源站服务器。

软WAF是安装在需要防护的服务器上，通常WAF是用来监听端口。或者是Web容器扩展的方式进行请求检测和阻断。

硬WAF是将WAF串行一般部署在Web服务器前端，用来检测，阻断异常流量。

WAF的主要特点有：

1. 针对HTTP和HTTPS的请求进行异常检测，阻断不符合请求的访问，并且严格的限制HTTP协议中没有完全限制的规则。以此来减少被攻击的范围。

2. 建立安全规则库，严格的控制输入验证，以安全规则来判断应用数据是否异常，如有异常直接阻断。以此来有效的防止网页篡改，信息泄露等恶意攻击的可能性。

3. 运用WAF技术判断用户是否是第一次请求访问的，同时将请求重定向到默认的登陆页面并且记录该事件。以此来检测识别用户的操作是否存在异常或者攻击，并且对达到阙值，触发规则的访问进行处理。

4. WAF防御机制也可以用来隐藏表单域保护，响应监控信息泄露或者被攻击时的告警提示，也可以抵抗规避入侵，爬虫等技术。

WAF机制对于WEB应用防火墙提供了安全保障，恒欣认为WAF机制对各类网站站点进行了有效的防护，因此对于DDOS防护以及CC防护，WAF指纹识别架构起到了重要作用。

qq3250845

DDoS防御需要根据不同的攻击类型和不同的攻击方式指定对应的策略才能达到最有效的防御。常见的DDos包括：Flood、CC和反射等。

　　1、flood攻击

　　Flood类的攻击最常见并简单有效，黑客通过控制大量的肉鸡同时向服务器发起请求，进而达到阻塞服务端处理入口或网卡队列。

　　针对消耗性Flood攻击，如：SYN Flood、ACK Flood、UDP Flood，最有效并可靠的防御方法是做源认证和资源隔离，即：在客户端和服务端建立回话时对请求的源进行必要的认证，并将认证结果形成可靠的白名单或黑名单，进而保证服务端处理业务的有效性。

　　若黑客肉鸡足够多并伪造数据包的真实性较高时，只能通过提升服务端的处理速度和流量吞吐量来达到较好的对抗效果。

　　2、CC攻击

　　CC攻击是一种针对Http业务的攻击手段，该攻击模式不需要太大的攻击流量，它是对服务端业务处理瓶颈的精确打击，攻击目标包括：大量数据运算、数据库访问、大内存文件等，攻击特征包括：

　　a、只构造请求，不关心请求结果，即发送完请求后立即关闭会话;

　　b、持续请求同一操作;

　　c、故意请求小字节的数据包(如下载文件);

　　d、qps高;

　　针对CC的攻击的防御需要结合具体业务的特征，针对具体的业务建立一系列防御模型，如：连接特征模型，客户端行为模型，业务访问特征模型等，接收请求端统计客户信息并根据模型特征进行一系列处理，包括：列入黑名单，限制访问速率，随机丢弃请求等。

　　3、反射类攻击

　　反射攻击是一种模拟攻击客户端请求指定服务器，并利用请求和应答之间的流量差值进行流量放大，进而达到攻击效果的攻击方式，常见的攻击类型包括：NTP，DNS等。

　　针对反射攻击比较有效的防御手段有：访问请求限速、反射流限速、请求行为分析等，这些防御手段没法完全过滤攻击流，只能达到抑制攻击的效果。

qq3250845

相比来说，肉鸡CC比代理CC防护更难，因为肉鸡能够模仿正常用户拜访网站的请求，形成合法的数据包。CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客凭借代理服务器生成指向受害主机的合法网页恳求，完成DDoS和假装；而肉鸡CC攻击是黑客运用CC攻击软件，控制许多肉鸡，发起攻击。

CC攻击便是充分利用了这个特点，许多朋友问到，为什么要运用代理呢？由于代理能够有用地隐藏自己的身份，也能够绕开防火墙，由于基本防火墙都会检测并发的TCP/IP衔接数目，超越必定数目必定频率就会被认为是Connection-Flood。当然也能够运用肉鸡发起CC攻击，可将CC防护的难度提升一个层次，致使服务器CPU%100，乃至死机的现象。

CC攻击是DDoS攻击的一种，他们的原理都是相同的，即发送许多的请求数据来导致服务器拒绝服务，是一种衔接攻击。CC攻击的原理是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽，一直到宕机崩溃。

CC主要是用来攻击页面的，每个人都有这样的体会：当一个网页请求的人数特别多的时候，打开网页就慢了，CC便是模仿多个用户（多少线程便是多少用户）不停地进行请求那些需求许多数据操作的页面，形成服务器资源的浪费，CPU长时刻处于100%，永久都有处理不完的连接直至就网络拥塞，正常的请求被中断。

一个静态页面不需求服务器多少资源，乃至能够说直接从内存中读出来发给你就能够了，可是论坛之类的动态网站就不相同了，我看一个帖子，需要到数据库中判断我是否有读帖子的权限，如果有，就读出帖子里边的内容，显示出来。至少拜访了2次数据库，如果数据库的体积有200MB，体系很可能就要在这200MB的数据空间查找一遍，这需求多少的CPU资源和时刻？

关于CC防护的措施：CC防护可以使用多种办法，比如禁止网站代理访问、尽量将网站做成静态页面、约束衔接数量、修改最大超时时刻等。

另外借鉴已有的经验，还可以使用两方面的DDoS保护方法来缓解CC攻击：（1）启用基于浏览器的挑战：Web应用程序防火墙（WAF）可以使用基于挑战的算法来过滤出CC攻击机器人。基于全球公共云基础架构，可以通过Multi CDN利用该计算能力来根据攻击按比例自动调整CC防护。正是这种力量能够抵御每分钟CC攻击3亿次的请求。（2）地理位置限制：通过确保来自主要用户群的国家和地区的流量，并阻止来自已知的“攻击区域”的流量，来限制特定区域的传入流量。

CC不像DDOS可以用硬件防火墙来过滤攻击，硬件防火墙对他起不到很好的CC防护效果，因为CC攻击本身的请求就是正常的请求。如果你的站被瞄上了，最有效的解决方法就是更换域名，更换IP。虽说有效，但是一般没几个人会这么做。如果容易被CC攻击，建议提前安装软防。

qq3250845

.............