China DDOS Anti-DDOS Servicev 4.0版本-CC 攻擊防御處理―――――――――――――――――――――――――――――中國DDOS 防御實驗室www.chinaddos.

China DDOS Anti-DDOS Service

v 4.0版本-CC 攻擊防御處理

―――――――――――――――――――――――――――――

中國DDOS 防御實驗室

www.chinaddos.com

?版權(quán)所有2009

CC

攻擊防御處理

隨著網(wǎng)絡攻擊的逐步的多樣化，僅僅以前防御是無法有效的防御住攻擊的產(chǎn)生。近來有著許多用戶的服務器都遭受到不同程度的CC 攻擊。很多用戶在遭受到CC 攻擊的情況下，感覺束手無策。

長沙市智為信息技術(shù)有限公司秉承為用戶的著想的角度出發(fā)，在不斷完善CHinDDOS 防火墻的同時，也針對這類攻擊介紹在v4.0的版本情況下教導用戶如何進行有效的防御。

DDOS 現(xiàn)在比較流行的一種方式是CC 攻擊及CC 變種攻擊，攻擊7000.7100端口，這往往發(fā)生在網(wǎng)絡游戲服務器上，導致玩家進入游戲界面選擇和建立不了人物。我們將針對這種攻擊方式的防御策略規(guī)則做說明解釋。以幫助用戶在碰到類似情況的處理。

WEB CC 攻擊Web cc

這類攻擊是主要是針對網(wǎng)站進行攻擊，利用大量代理服務器對目標計算機發(fā)起大量連接，導致目標服務器資源枯竭造成拒絕服務。如下圖所示

長沙市智為信息技術(shù)有限公司2頁共10頁

CC

攻擊防御處理

90.253的這個地址的入IP 數(shù)量和tcp 的連接數(shù)量都超出正常的情況。并且90.253的網(wǎng)站服務器出現(xiàn)網(wǎng)絡域名地址訪問不到的情況。我們在通過產(chǎn)看IP 鏈接表，可以發(fā)現(xiàn)擁有大量的IP 在鏈接90.253的80

端口。

而80端口都默認web 訪問端口，由此我們可以判定90.253的服務器遭受了WEB CC 攻擊。

由于用戶對于ChinaDDOS 防火墻以及TCP 協(xié)議的理解差異，所以我們針對這類方式提供了二種操作方式。

第一種操作方式全處理的辦法

我們通過制定高級防御規(guī)則來處理這類CC 攻擊。選擇《安全配置中心》——《高級防御規(guī)則庫》，新增以下規(guī)則內(nèi)容

長沙市智為信息技術(shù)有限公司3頁共10頁

CC

攻擊防御處理

由于現(xiàn)在是因為大量的一些IP 在惡意訪問服務器消耗服務器資源，占用網(wǎng)絡帶寬。所以，我們可以在此時設置這樣的防御條件，將這個時候所有訪問90.253服務器80端口的所有IP 都加入到黑名單中。待一分鐘以后，再將該防御規(guī)則刪除。通過這個操作以后，我們可以看到90.253

的服務器情況如下

長沙市智為信息技術(shù)有限公司4頁共10

頁

CC

攻擊防御處理

通過上面的內(nèi)容，我可以很清楚的看到經(jīng)過處理以后的服務器情況得到很大的改善。這就是我們所說明的全處理使用方式。

優(yōu)點：這類處理方式的優(yōu)點在于，攻擊情況出現(xiàn)以后可以很快的通過這個方式進行處理。使服務器恢復到正常狀態(tài)。不需要對tcp/ip協(xié)議有很深程度的了解。

缺點：這種處理方式是針對所有的訪問90.235的80端口IP 進行處理的。所以在一定程度上會造成誤封的情況。特別是對于虛擬主機，會影響到其它域名用戶的正常訪問。

注意：

1.在采取這種處理方式時，一定要記得該規(guī)則在設定生效后，大約在1分鐘左右就需要將它設置回來或者是刪除該規(guī)則。避免其他的正常ip 一并被處理。

2.切記在設定完規(guī)則或取消規(guī)則以后，都要應用一下防火墻設置才會生效。

第二種處理方式分析利用高級策略功能

WEB CC 攻擊攻擊都是采用代理或者是肉雞去訪問目標服務器網(wǎng)站的，拖垮服務器的使用資源。由于這類攻擊都是通過某種方式去實現(xiàn)的攻擊，所以我們只要找出這類攻擊手法的特點，便可針對性地利用它的特點進行高級防御規(guī)則的建立。這樣便可起到非常有效的防御手段。

我們通過《安全分析中心》——《分析工具》設定相關(guān)條件（由于在實際處理過程中，未有截圖設置條件）捕獲相關(guān)內(nèi)容如下

長沙市智為信息技術(shù)有限公司5頁共10頁

CC

攻擊防御處理

通過WEB CC 的攻擊原理，我們可以了解到CC 攻擊是訪問網(wǎng)站耗費服務器資源。我們可以通過多次捕獲數(shù)據(jù)包的內(nèi)容，查詢帶有GET 字樣（黃線）的TCP 數(shù)據(jù)內(nèi)容，發(fā)現(xiàn)有很多的IP 都在訪問

www.1jiaocheng.Cn（紅線）這個域名。當然光從這點是無法判斷這個是否是攻擊者所發(fā)起的攻擊目標，我們再次仔細排查可以發(fā)現(xiàn)同時有很多IP 訪問這個域名的時候，它們所有的IP 包長都在264字節(jié)（藍線），這顯然是極為不正常的現(xiàn)象。

通過以上的判斷條件，我們可以設定相應的高級防御規(guī)則，攔截處理這類具有一定攻擊性質(zhì)的數(shù)據(jù)包，以確保服務器的正常使用。

選擇《安全配置中心》——《高級防御規(guī)則庫》建立以下相應的防御策略條件

長沙市智為信息技術(shù)有限公司6頁共10

頁

CC

攻擊防御處理

在建立完高級防御規(guī)則以后，請切記將剛剛的操作保存應用。至此生效使用。

變種CC 攻擊

變種CC 攻擊其基本原理是：攻擊發(fā)起主機(attackerhost) 多次通過網(wǎng)絡中的HTTP 代理服務器(HTTPproxy) 向目標主機(targethost) 上開銷比較大的CGI 頁面發(fā)起HTTP 請求造成目標主機拒絕服務

(Denial of Service ) 。這是一種很聰明的分布式拒絕服務攻擊(Distributed Denial of Service ) 與典型的分布式拒絕服務攻擊不同，攻擊者不需要去尋找大量的傀儡機，代理服務器充當了這個角色。

在防火墻界面上面，我們可以通過IP 信息表中查看。如下圖所示

長沙市智為信息技術(shù)有限公司7頁共10

頁

CC

攻擊防御處理

通過截圖可以看出，此時172.111這個IP 服務器出現(xiàn)異常的情況。

19966個IP 的鏈接

13.6M 的入站流量

以及7681個tcp 鏈接

通過點擊IP 鏈接表時，我們可以看到每個IP 的具體鏈接情況，可以發(fā)現(xiàn)有大量的IP 在連接172.111這個IP 服務器（如下圖）

長沙市智為信息技術(shù)有限公司8頁共10

頁

CC

攻擊防御處理

同時，我們可以發(fā)現(xiàn)這鏈接的IP 中，存在很多大量的入包和出包數(shù)量非常少的IP。由于該服務器是屬于網(wǎng)絡游戲服務器，一個正常的鏈接通常都會有較多的數(shù)據(jù)內(nèi)容產(chǎn)生。由此我們可以判斷出那些出入包數(shù)量特別少的IP 為異常IP。

在確定這類IP 為異常IP 后，我們所需要作的防御是將這類IP 加入到動態(tài)黑名單中。通過以上幾次操作以后，我們可以發(fā)現(xiàn)當我們把那些異常IP 加入到動態(tài)黑名單以后，IP信息表中的提示信息內(nèi)容已經(jīng)恢復到正常狀態(tài)。

（如下圖）

長沙市智為信息技術(shù)有限公司9頁共10

頁

CC

攻擊防御處理

如果用戶在實際操作中有發(fā)現(xiàn)實際情況沒有達到理想的效果時，這是還有存在有攻擊IP 沒有全部加入到動態(tài)黑名單的現(xiàn)象，用戶則需要多執(zhí)行以上操作便可完全防御這類攻擊。

在此聲明

1.該防御處理方法不管是正使用戶還是注冊用戶也好，都可以很好的起到防御效果。

注：正式用戶指的是成為我們的正式會員，也就是付費用戶。

注冊用戶指的是在網(wǎng)站上面注冊成功以后，并免費使用的用戶（該用戶限制保護10個IP 地址）。

2.以下解決CC 攻擊的防御方法一切都是建立在ChinaDDOS 防火墻v4.0的基礎(chǔ)上實現(xiàn)的。如果用戶使用的是非v4.0版本或是其他品牌的DDOS 防火墻。以下解決方案是無效的。

3.由于所有敘述內(nèi)容都是建立在實際操作情況的處理方面，采取臨時截取的圖片，以致很多方面的圖片資料不完整。實際操作道理都是一樣的。用戶在不了解或不明白的情況下，可以通過網(wǎng)站論壇或者是QQ 的多種方式直接和我們聯(lián)系咨詢。

長沙市智為信息技術(shù)有限公司10頁共10頁