CC***
***者借助代理服務器生成指向受害主機的合法請求,實現(xiàn)DDOS,和偽裝就叫:cc(ChallengeCollapsar)
名稱起源
CC = Challenge Collapsar,意為“挑戰(zhàn)黑洞”,其前身名為Fatboy***,是利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務的目的。業(yè)界賦予這種***名稱為 CC(Challenge Collapsar,挑戰(zhàn)黑洞),是由于在DDOS***發(fā)展前期,絕大部分都能被業(yè)界知名的“黑洞”(Collapsar)抗拒絕服務***系統(tǒng)所防護,于 是在***們研究出一種新型的針對http的DDOS***后,即命名Challenge Collapsar,聲稱黑洞設備無法防御,后來大家就延用CC這個名稱至今。有趣的是,黑洞(現(xiàn)改名為ADS)后來也能全面防御CC***,但這個段子中 的***較量仍然被傳為一段佳話。
CC***是DDOS(分布式拒絕服務)的一種,相比其它的DDOS***CC似乎更有技術含量一些。這種***你見不到真實源IP,見不到特別大的異常流量, 但造成服務器無法進行正常連接。最讓站長們憂慮的是這種***技術含量低,利用更換IP代理工具和一些IP代理一個初、中級的電腦水平的用戶就能夠實施攻 擊。因此,大家有必要了解CC***的原理及如果發(fā)現(xiàn)CC***和對其的防范措施。
服務器處理
假設服務器A 對Search.asp的處理時間需要0.01S(多線程只是時間分割,對結論沒有影響),也就是說他一秒可以保證100個用戶的Search請求,服務 器允許的最大連接時間為60s,那么使用CC模擬120個用戶并發(fā)連接,那么經過 1分鐘,服務器的被請求了7200次,處理了6000次,于是剩下了1200個并發(fā)連接沒有被處理.有的朋友會說:丟連接!丟連接!問題是服務器是按先來 后到的順序丟的,這1200個是在最后10秒的時候發(fā)起的,想丟?!還早,經過計算,服務器滿負開始丟連接的時候,應該是有7200個并發(fā)連接存在隊列, 然后服務器開始120個/秒的丟連接,發(fā)動的連接也是120個/秒,服務器永遠有處理不完的連接,服務器的CPU 100%并長時間保持,然后丟連接的60秒服務器也判斷處理不過來了,新的連接也處理不了,這樣服務器達到了超級繁忙狀態(tài).
假設服務器處理Search只用了0.01S,也就是10毫秒(這個速度你可以去各個有開放時間顯示的論壇看看),使用的線程也只有120,很多服務器的 丟連接時間遠比60S長,使用線程遠比120多,可以想象可怕了吧,而且客戶機只要發(fā)送了斷開,連接的保持是代理做的,而且當服務器收到SQL請求,肯定 會進入隊列,不論連接是否已經斷開,而且服務器是并發(fā)的,不是順序執(zhí)行,這樣使得更多的請求進入內存請求,對服務器負擔更大
CC***原理
CC***的原理就是***者控制某些主機不停地發(fā)大量數(shù)據(jù)包給 對方服務器造成服務器資源耗盡,一直到宕機崩潰。CC主要是用來***頁面的,每個人都有這樣的體驗:當一個網(wǎng)頁訪問的人數(shù)特別多的時候,打開網(wǎng)頁就慢 了,CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數(shù)據(jù)操作(就是需要大量CPU時間)的頁面,造成服務器資源的浪費,CPU 長時間處于100%,永遠都有處理不完的連接直至就網(wǎng)絡擁塞,正常的訪問被中止。
CC***癥狀
一般遭受CC***時,Web服務器會出現(xiàn)80端口對外關閉的現(xiàn)象, 因為這個端口已經被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了。可以通過在命令行下輸入命令netstat -an來查看, “SYN_RECEIVED”是TCP連接狀態(tài)標志,意思是“正在處于連接的初始同步狀態(tài) ”,表明無法建立握手應答處于等待狀態(tài)。這就是***的特征,一般情況下這樣的記錄一般都會有很多條,表示來自不同的代理IP的***。
CC***的防范
CC***可以歸為DDoS***的一種。他們之間的原理都是一樣的,即發(fā)送大量的請求數(shù)據(jù)來導致服務器拒絕服務,是一種連接***。CC***又可分為代理CC***,和肉雞CC***。代理CC***是***借助代理服務器生成指向受害主機的合法網(wǎng)頁請求,實現(xiàn)DDoS,和偽裝就叫:cc(Challenge Collapsar)。而肉雞CC***是***使用CC***軟件,控制大量肉雞,發(fā)動***,相比來后者比前者更難防御。因為肉雞可以模擬正常用戶訪問網(wǎng)站的請求。偽造成合法數(shù)據(jù)包。
一個靜態(tài)頁面不 需要服務器多少資源,甚至可以說直接從內存中讀出來發(fā)給你就可以了,但是論壇之類的動態(tài)網(wǎng)站就不一樣了,我看一個帖子,系統(tǒng)需要到數(shù)據(jù)庫中判斷我是否有讀 帖子的權限,如果有,就讀出帖子里面的內容,顯示出來——這里至少訪問了2次數(shù)據(jù)庫,如果數(shù)據(jù)庫的體積有200MB大小,系統(tǒng)很可能就要在這200MB大 小的數(shù)據(jù)空間搜索一遍,這需要多少的CPU資源和時間?如果我是查找一個關鍵字,那么時間更加可觀,因為前面的搜索可以限定在一個很小的范圍內,比如用戶權限只查用戶表,帖子內容只查帖子表,而且查到就可以馬上停止查詢,而搜索肯定會對所有的數(shù)據(jù)進行一次判斷,消耗的時間是相當?shù)拇?/span>
CC***就是充分利用了這個特點,模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數(shù)據(jù)操作,就是需要大量CPU時間的頁面,比如 asp/php/jsp/cgi)。很多朋友問到,為什么要使用代理呢?因為代理可以有效地隱藏自己的身份,也可以繞開所有的防火墻,因為基本上所有的防 火墻都會檢測并發(fā)的TCP/IP連接數(shù)目,超過一定數(shù)目一定頻率就會被認為是Connection-Flood。當然也可以使用肉雞發(fā)動CC***。肉雞的CC***效果更可觀。致使服務器CPU%100,甚至死機的現(xiàn)象。
使用代理***還能很好的保持連接,這里發(fā)送了數(shù)據(jù),代理轉發(fā)給對方服務器,就可以馬上斷開,代理還會繼續(xù)保持著和對方連接(我知道的記錄是有人利用2000個代理產生了35萬并發(fā)連接)。
當然,CC也可以利用這里方法對FTP、游戲端口、聊天房間等進行***,也可以實現(xiàn)TCP-FLOOD,這些都是經過測試有效的。
防御CC***可以通過多種方法,禁止網(wǎng)站代理訪問,盡量將網(wǎng)站做成靜態(tài)頁面,限制連接數(shù)量,修改最大超時時間等。
轉載于:https://blog.51cto.com/kaibinyuan/1618905
總結
- 上一篇: Linux安装pecl和pear
- 下一篇: 使用fullPage做的大图片全屏滚动