CC攻击防御处理

2017-03-27

8022

China DDOS Anti-DDOS Servicev 4.0版本-CC 攻击防御处理―――――――――――――――――――――――――――――中国DDOS 防御实验室www.chinaddos.

China DDOS Anti-DDOS Service

v 4.0版本-CC 攻击防御处理

―――――――――――――――――――――――――――――

中国DDOS 防御实验室

www.chinaddos.com

攻击防御处理

随着网络攻击的逐步的多样化，仅仅以前防御是无法有效的防御住攻击的产生。近来有着许多用户的服务器都遭受到不同程度的CC 攻击。很多用户在遭受到CC 攻击的情况下，感觉束手无策。

长沙市智为信息技术有限公司秉承为用户的着想的角度出发，在不断完善CHinDDOS 防火墙的同时，也针对这类攻击介绍在v4.0的版本情况下教导用户如何进行有效的防御。

DDOS 现在比较流行的一种方式是CC 攻击及CC 变种攻击，攻击7000.7100端口，这往往发生在网络游戏服务器上，导致玩家进入游戏界面选择和建立不了人物。我们将针对这种攻击方式的防御策略规则做说明解释。以帮助用户在碰到类似情况的处理。

WEB CC 攻击Web cc

这类攻击是主要是针对网站进行攻击，利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。如下图所示

长沙市智为信息技术有限公司2页共10页

攻击防御处理

90.253的这个地址的入IP 数量和tcp 的连接数量都超出正常的情况。并且90.253的网站服务器出现网络域名地址访问不到的情况。我们在通过产看IP 链接表，可以发现拥有大量的IP 在链接90.253的80

端口。

而80端口都默认web 访问端口，由此我们可以判定90.253的服务器遭受了WEB CC 攻击。

由于用户对于ChinaDDOS 防火墙以及TCP 协议的理解差异，所以我们针对这类方式提供了二种操作方式。

第一种操作方式全处理的办法

我们通过制定高级防御规则来处理这类CC 攻击。选择《安全配置中心》——《高级防御规则库》，新增以下规则内容

长沙市智为信息技术有限公司3页共10页

攻击防御处理

由于现在是因为大量的一些IP 在恶意访问服务器消耗服务器资源，占用网络带宽。所以，我们可以在此时设置这样的防御条件，将这个时候所有访问90.253服务器80端口的所有IP 都加入到黑名单中。待一分钟以后，再将该防御规则删除。通过这个操作以后，我们可以看到90.253

的服务器情况如下

长沙市智为信息技术有限公司4页共10

页

攻击防御处理

通过上面的内容，我可以很清楚的看到经过处理以后的服务器情况得到很大的改善。这就是我们所说明的全处理使用方式。

优点：这类处理方式的优点在于，攻击情况出现以后可以很快的通过这个方式进行处理。使服务器恢复到正常状态。不需要对tcp/ip协议有很深程度的了解。

缺点：这种处理方式是针对所有的访问90.235的80端口IP 进行处理的。所以在一定程度上会造成误封的情况。特别是对于虚拟主机，会影响到其它域名用户的正常访问。

注意：

1.在采取这种处理方式时，一定要记得该规则在设定生效后，大约在1分钟左右就需要将它设置回来或者是删除该规则。避免其他的正常ip 一并被处理。

2.切记在设定完规则或取消规则以后，都要应用一下防火墙设置才会生效。

第二种处理方式分析利用高级策略功能

WEB CC 攻击攻击都是采用代理或者是肉鸡去访问目标服务器网站的，拖垮服务器的使用资源。由于这类攻击都是通过某种方式去实现的攻击，所以我们只要找出这类攻击手法的特点，便可针对性地利用它的特点进行高级防御规则的建立。这样便可起到非常有效的防御手段。

我们通过《安全分析中心》——《分析工具》设定相关条件（由于在实际处理过程中，未有截图设置条件）捕获相关内容如下

长沙市智为信息技术有限公司5页共10页

攻击防御处理

通过WEB CC 的攻击原理，我们可以了解到CC 攻击是访问网站耗费服务器资源。我们可以通过多次捕获数据包的内容，查询带有GET 字样（黄线）的TCP 数据内容，发现有很多的IP 都在访问

www.1jiaocheng.Cn（红线）这个域名。当然光从这点是无法判断这个是否是攻击者所发起的攻击目标，我们再次仔细排查可以发现同时有很多IP 访问这个域名的时候，它们所有的IP 包长都在264字节（蓝线），这显然是极为不正常的现象。

通过以上的判断条件，我们可以设定相应的高级防御规则，拦截处理这类具有一定攻击性质的数据包，以确保服务器的正常使用。

选择《安全配置中心》——《高级防御规则库》建立以下相应的防御策略条件

长沙市智为信息技术有限公司6页共10

页

攻击防御处理

在建立完高级防御规则以后，请切记将刚刚的操作保存应用。至此生效使用。

变种CC 攻击

变种CC 攻击其基本原理是：攻击发起主机(attackerhost) 多次通过网络中的HTTP 代理服务器(HTTPproxy) 向目标主机(targethost) 上开销比较大的CGI 页面发起HTTP 请求造成目标主机拒绝服务

(Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击(Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同，攻击者不需要去寻找大量的傀儡机，代理服务器充当了这个角色。

在防火墙界面上面，我们可以通过IP 信息表中查看。如下图所示

长沙市智为信息技术有限公司7页共10

页

攻击防御处理

通过截图可以看出，此时172.111这个IP 服务器出现异常的情况。

19966个IP 的链接

13.6M 的入站流量

以及7681个tcp 链接

通过点击IP 链接表时，我们可以看到每个IP 的具体链接情况，可以发现有大量的IP 在连接172.111这个IP 服务器（如下图）

长沙市智为信息技术有限公司8页共10

页

攻击防御处理

同时，我们可以发现这链接的IP 中，存在很多大量的入包和出包数量非常少的IP。由于该服务器是属于网络游戏服务器，一个正常的链接通常都会有较多的数据内容产生。由此我们可以判断出那些出入包数量特别少的IP 为异常IP。

在确定这类IP 为异常IP 后，我们所需要作的防御是将这类IP 加入到动态黑名单中。通过以上几次操作以后，我们可以发现当我们把那些异常IP 加入到动态黑名单以后，IP信息表中的提示信息内容已经恢复到正常状态。

（如下图）

长沙市智为信息技术有限公司9页共10

页

攻击防御处理

如果用户在实际操作中有发现实际情况没有达到理想的效果时，这是还有存在有攻击IP 没有全部加入到动态黑名单的现象，用户则需要多执行以上操作便可完全防御这类攻击。

在此声明

1.该防御处理方法不管是正使用户还是注册用户也好，都可以很好的起到防御效果。

注：正式用户指的是成为我们的正式会员，也就是付费用户。

注册用户指的是在网站上面注册成功以后，并免费使用的用户（该用户限制保护10个IP 地址）。

2.以下解决CC 攻击的防御方法一切都是建立在ChinaDDOS 防火墙v4.0的基础上实现的。如果用户使用的是非v4.0版本或是其他品牌的DDOS 防火墙。以下解决方案是无效的。

3.由于所有叙述内容都是建立在实际操作情况的处理方面，采取临时截取的图片，以致很多方面的图片资料不完整。实际操作道理都是一样的。用户在不了解或不明白的情况下，可以通过网站论坛或者是QQ 的多种方式直接和我们联系咨询。

长沙市智为信息技术有限公司10页共10页

相关推荐