CC攻擊分析與新思路

www_ftp

現(xiàn)在最熱門的就是CC攻擊了，CC巧妙利用大量的代理，拖跨動(dòng)態(tài)網(wǎng)站．防護(hù)難度之大，有目共睹．\r\n現(xiàn)在的抗CC技術(shù)基本上就是過濾關(guān)鍵字，還有程序自身的防刷新技術(shù)．\r\n分別簡單分析一下，這兩種技術(shù)，最后提出一個(gè)新的防護(hù)思路，一起分析：\r\n過濾關(guān)鍵字，的確有一定的防護(hù)效果，可以有效保護(hù)動(dòng)態(tài)網(wǎng)站服務(wù)器，對(duì)于小型CC攻擊或加上服務(wù)器強(qiáng)大的處理能力，還是能挺的過去．此方法有以下缺點(diǎn)，一是互聯(lián)網(wǎng)上的服務(wù)器復(fù)雜，有很多代理軟件，每個(gè)代理軟件都有自己的關(guān)鍵字，如果每個(gè)都過濾對(duì)速度影響之大，當(dāng)然抓包分析，可以看出三次握手后，如果有關(guān)鍵字的話前幾個(gè)包就包括你需要的關(guān)鍵字，這是優(yōu)化處理，效果有限．二是有不少代理軟件根本沒有任何指示是代理的關(guān)鍵字，所以這部分代理就不能防范了，代理找的越多，幾率越大．所以面對(duì)強(qiáng)大的CC攻擊時(shí)，用戶反應(yīng)效果不好．如果有心人專找這種代理的話，是很可怕的事，也不能通過IP找到攻擊著．

www_ftp

防刷新技術(shù)，有兩種．一種是在地層，另一種是動(dòng)態(tài)腳本中加入．這兩種技術(shù)也都有局限性，地層防刷新，可以通過限制每秒或幾秒通過SYN數(shù)，也可能對(duì)每個(gè)請(qǐng)求(URL)每秒不能通過多少個(gè),進(jìn)行限制的辦法．這種方法也有一定的效果，但是很容易誤報(bào)，用戶不小多點(diǎn)了幾個(gè)窗口就不能訪問了．最后就是腳本中加入了，防刷新的功能，也是有一定的效果，可能也存在前邊的問題．另外是攻擊包已經(jīng)到了服務(wù)器了，這時(shí)為每個(gè)代理只少查詢了一次數(shù)據(jù)庫了，如果代量多的話，一樣也能拖跨服務(wù)器．

www_ftp

通過分析可知，每個(gè)方法都有一定的效果，可又都不是完美的解決CC的方案，其實(shí)并不是沒有辦法的，我們仔細(xì)想想可知，CC攻擊有如下特點(diǎn)：\r\n(1)攻擊著為了攻擊動(dòng)態(tài)網(wǎng)站，都是用了專用的CC攻擊工具，此工具必須能比較快的建立三次握手，并且能快速的斷開．\r\n(2)必須借助大量第三方的代理服務(wù)器．\r\n\r\n我們首先分析代理服務(wù)器，代理服務(wù)器既然是第三方的，不是CC攻擊者的，所以呢代理服務(wù)器的行為是固定的，就是CC攻擊著不能改變其功能，只能被動(dòng)使用．通過代理服務(wù)器的原理可知，他就是把用戶發(fā)來的請(qǐng)求進(jìn)行解析，轉(zhuǎn)發(fā)出去，等待服務(wù)器返回?cái)?shù)據(jù)做個(gè)備份，下次再有請(qǐng)求時(shí)，直接返數(shù)據(jù)．就是只有轉(zhuǎn)發(fā)，緩存網(wǎng)頁的做用，沒有對(duì)腳本執(zhí)行分析的作用(這點(diǎn)很重點(diǎn))．\r\n再次分析攻擊軟件的特點(diǎn)，攻擊軟件只是與代理建立三次握手，發(fā)出個(gè)GET請(qǐng)求就斷開了，省下的就又代理完成，為什么這么做請(qǐng)看CC攻擊作者說明．本身對(duì)腳本也沒有執(zhí)行分析的作用(這點(diǎn)很重要)．\r\n我們反過來看看，我們正常的訪問，訪問動(dòng)態(tài)網(wǎng)站都是用IE等有分析執(zhí)行功能的瀏覽器（這點(diǎn)很重要）．\r\n好，我們知道這些特點(diǎn)，下邊就是怎么利用這個(gè)特點(diǎn)進(jìn)行防護(hù)．

www_ftp

當(dāng)我們的防火墻與代理完成三次握手后，代理會(huì)向服務(wù)器發(fā)出GET請(qǐng)求，這時(shí)我們的防火墻截獲此包，然后替服務(wù)器對(duì)代理服務(wù)器進(jìn)行應(yīng)答，這個(gè)應(yīng)答是一個(gè)轉(zhuǎn)向腳本，告訴代理服務(wù)器你訪問網(wǎng)站在別一個(gè)地方，同時(shí)這個(gè)應(yīng)答包中包括代理服務(wù)器真實(shí)的請(qǐng)求+上防火墻加密的動(dòng)態(tài)數(shù)據(jù)（防止被解密），等待這個(gè)代理再次發(fā)出我們要求的這個(gè)轉(zhuǎn)向請(qǐng)求，如果驗(yàn)證加密的數(shù)據(jù)是對(duì)的，就發(fā)個(gè)服務(wù)器，完成實(shí)際的請(qǐng)求（這地方有個(gè)seq包同步問題，很好解決）．剛才發(fā)到的包是攻擊軟件發(fā)出的，他就不會(huì)就瀏覽器一樣，正確解釋執(zhí)行這個(gè)加密腳本．大體思想就是這樣的．\r\n\r\n好處，一是不依靠有限的關(guān)鍵字，漏掉部分代理．二是并不武斷拒絕一切代理，只要不是攻擊，正常的用戶是可以用代理訪問的．\r\n\r\n好了，就寫這么多吧，可能有點(diǎn)亂，思路大體是這樣的．

benjiam

當(dāng)我們的防火墻與代理完成三次握手后，代理會(huì)向服務(wù)器發(fā)出GET請(qǐng)求，這時(shí)我們的防火墻截獲此包，然后替服務(wù)器對(duì)代理服務(wù)器進(jìn)行應(yīng)答，這個(gè)應(yīng)答是一個(gè)轉(zhuǎn)向腳本，告訴代理服務(wù)器你訪問網(wǎng)站在別一個(gè)地方，同時(shí)這個(gè)應(yīng)答包中包括代理服務(wù)器真實(shí)的請(qǐng)求+上防火墻加密的動(dòng)態(tài)數(shù)據(jù)（防止被解密），等待這個(gè)代理再次發(fā)出我們要求的這個(gè)轉(zhuǎn)向請(qǐng)求，如果驗(yàn)證加密的數(shù)據(jù)是對(duì)的，就發(fā)個(gè)服務(wù)器，完成實(shí)際的請(qǐng)求（這地方有個(gè)seq包同步問題，很好解決）．剛才發(fā)到的包是攻擊軟件發(fā)出的，他就不會(huì)就瀏覽器一樣，正確解釋執(zhí)行這個(gè)加密腳本．\r\n\r\n\r\n如何限制 時(shí)效問題   這個(gè)應(yīng)答是一個(gè)轉(zhuǎn)向腳本，告訴代理服務(wù)器你訪問網(wǎng)站在別一個(gè)地方，同時(shí)這個(gè)應(yīng)答包中包括代理服務(wù)器真實(shí)的請(qǐng)求+上防火墻加密的動(dòng)態(tài)數(shù)據(jù)（防止被解密），\r\n\r\n如果有大量的請(qǐng)求。防護(hù) 服務(wù)器本身會(huì)積累很多 這樣的 session   這種方法和普通的session 方法沒有實(shí)質(zhì)上的區(qū)別。\r\n只是把session 校驗(yàn)層做在了http 服務(wù)器以外. 甚至加大了 防護(hù)層與 http 服務(wù)器 交互。\r\n\r\n這樣只是把處理的瓶頸從http 服務(wù)器 轉(zhuǎn)到了 防護(hù)服務(wù)器上。 問題沒有更本解決吧

www_ftp

首先防護(hù)服務(wù)器本身不記錄session的，不會(huì)積累的．二是如果你對(duì)一個(gè)代理驗(yàn)證了是具有攻擊行為，完全在一定時(shí)間內(nèi)封掉此代理的IP就可以．三是session包在沒有驗(yàn)證之前，不會(huì)發(fā)到http服務(wù)器上去，所以防護(hù)層與http之間沒有無效的交互．

zjzf_1

雖然我沒看明白 但是我?guī)湍沩斠幌耚r\n\r\n最好放攻擊的理論 就是網(wǎng)拔技術(shù)\n\n[ 本帖最后由 zjzf_1 于 2006-1-5 12:05 編輯 ]

www_ftp

呵呵，只是一種思路，就是驗(yàn)證是IE發(fā)出的請(qǐng)求，還是用攻擊軟件發(fā)出的請(qǐng)求．

www_ftp

原帖由 zjzf_1 于 2006-1-5 12:01 發(fā)表\r\n雖然我沒看明白 但是我?guī)湍沩斠幌耚r\n\r\n最好放攻擊的理論 就是網(wǎng)拔技術(shù)

\r\n\r\n呵呵，是呀。絕對(duì)防是不可能的，只是增大攻擊著的難度，在有限的時(shí)間內(nèi)或現(xiàn)有的條件下很難得逞．如果真的放掉了，也能爭取時(shí)間，抓到他．開發(fā)抗ddos這東西，比開發(fā)防火墻難太多了．

platinum

可否解釋一下什么是“網(wǎng)拔技術(shù)”嗎？\r\n我只知道“網(wǎng)閘”，“網(wǎng)拔”我沒查到是什么