China DDOS Anti-DDOS Servicev 4.0版本-CC 攻擊防御處理―――――――――――――――――――――――――――――中國DDOS 防御實(shí)驗(yàn)室www.chinaddos.

China DDOS Anti-DDOS Service

v 4.0版本-CC 攻擊防御處理

―――――――――――――――――――――――――――――

中國DDOS 防御實(shí)驗(yàn)室

www.chinaddos.com

?版權(quán)所有2009

CC

攻擊防御處理

隨著網(wǎng)絡(luò)攻擊的逐步的多樣化，僅僅以前防御是無法有效的防御住攻擊的產(chǎn)生。近來有著許多用戶的服務(wù)器都遭受到不同程度的CC 攻擊。很多用戶在遭受到CC 攻擊的情況下，感覺束手無策。

長沙市智為信息技術(shù)有限公司秉承為用戶的著想的角度出發(fā)，在不斷完善CHinDDOS 防火墻的同時(shí)，也針對(duì)這類攻擊介紹在v4.0的版本情況下教導(dǎo)用戶如何進(jìn)行有效的防御。

DDOS 現(xiàn)在比較流行的一種方式是CC 攻擊及CC 變種攻擊，攻擊7000.7100端口，這往往發(fā)生在網(wǎng)絡(luò)游戲服務(wù)器上，導(dǎo)致玩家進(jìn)入游戲界面選擇和建立不了人物。我們將針對(duì)這種攻擊方式的防御策略規(guī)則做說明解釋。以幫助用戶在碰到類似情況的處理。

WEB CC 攻擊Web cc

這類攻擊是主要是針對(duì)網(wǎng)站進(jìn)行攻擊，利用大量代理服務(wù)器對(duì)目標(biāo)計(jì)算機(jī)發(fā)起大量連接，導(dǎo)致目標(biāo)服務(wù)器資源枯竭造成拒絕服務(wù)。如下圖所示

長沙市智為信息技術(shù)有限公司2頁共10頁

CC

攻擊防御處理

90.253的這個(gè)地址的入IP 數(shù)量和tcp 的連接數(shù)量都超出正常的情況。并且90.253的網(wǎng)站服務(wù)器出現(xiàn)網(wǎng)絡(luò)域名地址訪問不到的情況。我們在通過產(chǎn)看IP 鏈接表，可以發(fā)現(xiàn)擁有大量的IP 在鏈接90.253的80

端口。

而80端口都默認(rèn)web 訪問端口，由此我們可以判定90.253的服務(wù)器遭受了WEB CC 攻擊。

由于用戶對(duì)于ChinaDDOS 防火墻以及TCP 協(xié)議的理解差異，所以我們針對(duì)這類方式提供了二種操作方式。

第一種操作方式全處理的辦法

我們通過制定高級(jí)防御規(guī)則來處理這類CC 攻擊。選擇《安全配置中心》——《高級(jí)防御規(guī)則庫》，新增以下規(guī)則內(nèi)容

長沙市智為信息技術(shù)有限公司3頁共10頁

CC

攻擊防御處理

由于現(xiàn)在是因?yàn)榇罅康囊恍㊣P 在惡意訪問服務(wù)器消耗服務(wù)器資源，占用網(wǎng)絡(luò)帶寬。所以，我們可以在此時(shí)設(shè)置這樣的防御條件，將這個(gè)時(shí)候所有訪問90.253服務(wù)器80端口的所有IP 都加入到黑名單中。待一分鐘以后，再將該防御規(guī)則刪除。通過這個(gè)操作以后，我們可以看到90.253

的服務(wù)器情況如下

長沙市智為信息技術(shù)有限公司4頁共10

頁

CC

攻擊防御處理

通過上面的內(nèi)容，我可以很清楚的看到經(jīng)過處理以后的服務(wù)器情況得到很大的改善。這就是我們所說明的全處理使用方式。

優(yōu)點(diǎn)：這類處理方式的優(yōu)點(diǎn)在于，攻擊情況出現(xiàn)以后可以很快的通過這個(gè)方式進(jìn)行處理。使服務(wù)器恢復(fù)到正常狀態(tài)。不需要對(duì)tcp/ip協(xié)議有很深程度的了解。

缺點(diǎn)：這種處理方式是針對(duì)所有的訪問90.235的80端口IP 進(jìn)行處理的。所以在一定程度上會(huì)造成誤封的情況。特別是對(duì)于虛擬主機(jī)，會(huì)影響到其它域名用戶的正常訪問。

注意：

1.在采取這種處理方式時(shí)，一定要記得該規(guī)則在設(shè)定生效后，大約在1分鐘左右就需要將它設(shè)置回來或者是刪除該規(guī)則。避免其他的正常ip 一并被處理。

2.切記在設(shè)定完規(guī)則或取消規(guī)則以后，都要應(yīng)用一下防火墻設(shè)置才會(huì)生效。

第二種處理方式分析利用高級(jí)策略功能

WEB CC 攻擊攻擊都是采用代理或者是肉雞去訪問目標(biāo)服務(wù)器網(wǎng)站的，拖垮服務(wù)器的使用資源。由于這類攻擊都是通過某種方式去實(shí)現(xiàn)的攻擊，所以我們只要找出這類攻擊手法的特點(diǎn)，便可針對(duì)性地利用它的特點(diǎn)進(jìn)行高級(jí)防御規(guī)則的建立。這樣便可起到非常有效的防御手段。

我們通過《安全分析中心》——《分析工具》設(shè)定相關(guān)條件（由于在實(shí)際處理過程中，未有截圖設(shè)置條件）捕獲相關(guān)內(nèi)容如下

長沙市智為信息技術(shù)有限公司5頁共10頁

CC

攻擊防御處理

通過WEB CC 的攻擊原理，我們可以了解到CC 攻擊是訪問網(wǎng)站耗費(fèi)服務(wù)器資源。我們可以通過多次捕獲數(shù)據(jù)包的內(nèi)容，查詢帶有GET 字樣（黃線）的TCP 數(shù)據(jù)內(nèi)容，發(fā)現(xiàn)有很多的IP 都在訪問

www.1jiaocheng.Cn（紅線）這個(gè)域名。當(dāng)然光從這點(diǎn)是無法判斷這個(gè)是否是攻擊者所發(fā)起的攻擊目標(biāo)，我們再次仔細(xì)排查可以發(fā)現(xiàn)同時(shí)有很多IP 訪問這個(gè)域名的時(shí)候，它們所有的IP 包長都在264字節(jié)（藍(lán)線），這顯然是極為不正常的現(xiàn)象。

通過以上的判斷條件，我們可以設(shè)定相應(yīng)的高級(jí)防御規(guī)則，攔截處理這類具有一定攻擊性質(zhì)的數(shù)據(jù)包，以確保服務(wù)器的正常使用。

選擇《安全配置中心》——《高級(jí)防御規(guī)則庫》建立以下相應(yīng)的防御策略條件

長沙市智為信息技術(shù)有限公司6頁共10

頁

CC

攻擊防御處理

在建立完高級(jí)防御規(guī)則以后，請切記將剛剛的操作保存應(yīng)用。至此生效使用。

變種CC 攻擊

變種CC 攻擊其基本原理是：攻擊發(fā)起主機(jī)(attackerhost) 多次通過網(wǎng)絡(luò)中的HTTP 代理服務(wù)器(HTTPproxy) 向目標(biāo)主機(jī)(targethost) 上開銷比較大的CGI 頁面發(fā)起HTTP 請求造成目標(biāo)主機(jī)拒絕服務(wù)

(Denial of Service ) 。這是一種很聰明的分布式拒絕服務(wù)攻擊(Distributed Denial of Service ) 與典型的分布式拒絕服務(wù)攻擊不同，攻擊者不需要去尋找大量的傀儡機(jī)，代理服務(wù)器充當(dāng)了這個(gè)角色。

在防火墻界面上面，我們可以通過IP 信息表中查看。如下圖所示

長沙市智為信息技術(shù)有限公司7頁共10

頁

CC

攻擊防御處理

通過截圖可以看出，此時(shí)172.111這個(gè)IP 服務(wù)器出現(xiàn)異常的情況。

19966個(gè)IP 的鏈接

13.6M 的入站流量

以及7681個(gè)tcp 鏈接

通過點(diǎn)擊IP 鏈接表時(shí)，我們可以看到每個(gè)IP 的具體鏈接情況，可以發(fā)現(xiàn)有大量的IP 在連接172.111這個(gè)IP 服務(wù)器（如下圖）

長沙市智為信息技術(shù)有限公司8頁共10

頁

CC

攻擊防御處理

同時(shí)，我們可以發(fā)現(xiàn)這鏈接的IP 中，存在很多大量的入包和出包數(shù)量非常少的IP。由于該服務(wù)器是屬于網(wǎng)絡(luò)游戲服務(wù)器，一個(gè)正常的鏈接通常都會(huì)有較多的數(shù)據(jù)內(nèi)容產(chǎn)生。由此我們可以判斷出那些出入包數(shù)量特別少的IP 為異常IP。

在確定這類IP 為異常IP 后，我們所需要作的防御是將這類IP 加入到動(dòng)態(tài)黑名單中。通過以上幾次操作以后，我們可以發(fā)現(xiàn)當(dāng)我們把那些異常IP 加入到動(dòng)態(tài)黑名單以后，IP信息表中的提示信息內(nèi)容已經(jīng)恢復(fù)到正常狀態(tài)。

（如下圖）

長沙市智為信息技術(shù)有限公司9頁共10

頁

CC

攻擊防御處理

如果用戶在實(shí)際操作中有發(fā)現(xiàn)實(shí)際情況沒有達(dá)到理想的效果時(shí)，這是還有存在有攻擊IP 沒有全部加入到動(dòng)態(tài)黑名單的現(xiàn)象，用戶則需要多執(zhí)行以上操作便可完全防御這類攻擊。

在此聲明

1.該防御處理方法不管是正使用戶還是注冊用戶也好，都可以很好的起到防御效果。

注：正式用戶指的是成為我們的正式會(huì)員，也就是付費(fèi)用戶。

注冊用戶指的是在網(wǎng)站上面注冊成功以后，并免費(fèi)使用的用戶（該用戶限制保護(hù)10個(gè)IP 地址）。

2.以下解決CC 攻擊的防御方法一切都是建立在ChinaDDOS 防火墻v4.0的基礎(chǔ)上實(shí)現(xiàn)的。如果用戶使用的是非v4.0版本或是其他品牌的DDOS 防火墻。以下解決方案是無效的。

3.由于所有敘述內(nèi)容都是建立在實(shí)際操作情況的處理方面，采取臨時(shí)截取的圖片，以致很多方面的圖片資料不完整。實(shí)際操作道理都是一樣的。用戶在不了解或不明白的情況下，可以通過網(wǎng)站論壇或者是QQ 的多種方式直接和我們聯(lián)系咨詢。

長沙市智為信息技術(shù)有限公司10頁共10頁