CC攻击原理与防御 -wangfan.ppt

总结 随着DDoS攻击工具不断的普遍和强大，Internet上的安全隐患越来越多，以及客户业务系统对网络依赖程度的增高，可以预见的是DDoS攻击事件数量会持续增长，而攻击规模也会更大，损失严重程度也会更高。DDOS攻击只能被减弱，无法被彻底消除。我们经过有效的措施降低损失，同时给攻击者带来更多的成本消耗。进而起到防御的效果。 Thank you for attending！ QA * 首先，与传统的流量型DDoS攻击不同，CC攻击是针对网站服务器性能弱点的攻击，所以有可能仅需要很小的流量就能达到拒绝服务的效果 例如，假设某个网站有一个需要进行数据库访问处理的页面search.asp，该页面需要的处理时间为0.0l s(这个处理时间与大多数网站数据库处理页面需要消耗的时间接近)．因此该页面最快的处理速度为10O个／s访问请求．当访问请求大于100个／s时，服务器将 超出的请求保持60 s．在60 s内还来不及处理时．服务器将丢弃这些请求。同时，假设用户使用Http GET指令访问这 个页面时需要发送2 048 byte的数据包(这个数据包长度是IE可以发送的Http GET包的最长长度) 对于这样一 个网站，如果每秒向其发送120个访问请求，多余的20个请求将持续6O s以后才被丢弃．这样在5 s以后服务器缓 冲的访问请求数将达到100个，此时服务器将进入超级繁忙的状态．如果此时仍有大量访问请求进入．服务器页面 将拒绝服务，直至服务器整机瘫痪 此时，使服务器拒绝服务而发送的攻击流量为2048×l20 byte．即大约2 Mbit／s的 流量，现有的DD0S检测手段很难识别这样的小流量DD0S攻击 一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读 读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的体积有200MB大小，系统很可能就要在这200MB 大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用 户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。 * * * 1.利用Session.这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式,在页面里判断刷新,是刷新就不让它访问,没有刷新符号给它刷新符号.给些示范代码 ,Session: 程序代码: 〈% if session(“refresh”)〈〉1then Session(“refresh”)=session(“refresh”)+1 Response.redirect“index.asp” Endif %〉  这样用户第一次访问会使得Refresh=1,第二次访问,正常,第三次,不让他访问了,认为是刷新,可以加上一个时间参数,让多少时间允许访问,这样就限制了耗时间的页面的访问,对正常客户几乎没有什么影响. * * * * * CC攻击原理与防御  安全网关 王 番  2011.08  内容 CC攻击的起源与危害 CC攻击的简介 CC攻击的特征 CC攻击原理 如何防御 CC攻击 CC攻击的分类 历史起源 　　CC = Challenge Collapsar，其前身名为Fatboy攻击，Collapsar(黑洞) 是绿盟科技的一款抗DDOS产品品牌，在对抗拒绝服务攻击的领域内具有比较高的影响力和口碑。 因此，此攻击更名为Challenge Collapsar，表示要向黑洞发起挑战。 CC攻击可以归为DDoS攻击的一种。 那么，DDOS攻击又分哪些类型呢？ DDOS攻击类型 流量型攻击 使用大量的包含伪造信息的数据包，耗尽服务器资源，使其拒绝服务 常见：SYN Flood，ACK Flood，UDP Flood，ICMP Flood，Fragment Flood，等等 连接型攻击 使用大量的傀儡机，频繁的连接服务器，形成虚假的客户请求，耗尽服务器资源，使其拒绝服务 常见：CC攻击，HTTP Get Flood， Connection Flood，传奇假人攻击等 DDOS攻击的危害 由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机 DDoS可使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数