一、CC攻擊的原理
CC攻擊的原理就是攻擊者控制某些主機不停地發大量資料包給對方伺服器造成伺服器資源耗盡,一直到當機崩潰。CC主要是用來消耗伺服器資源的,每個人都有這樣的體驗:當一個網頁通路的人數特别多的時候,打開網頁就慢了,CC就是模拟多個使用者(多少線程就是多少使用者)不停地進行通路那些需要大量資料操作(就是需要大量CPU時間)的頁面,造成伺服器資源的浪費,CPU長時間處于100%,永遠都有處理不完的連接配接直至就網絡擁塞,正常的通路被中止。
二、CC攻擊的種類
CC攻擊的種類一般分為三種,直接攻擊,代理攻擊,僵屍網絡攻擊,直接攻擊主要針對有重要缺陷的 WEB 應用程式,一般說來是程式寫的有問題的時候才會出現這種情況,比較少見。僵屍網絡攻擊有點類似于 DDOS 攻擊了,從 WEB 應用程式層面上已經無法防禦,是以代理攻擊是CC 攻擊者一般會操作一批代理伺服器,比方說 100 個代理,然後每個代理同時發出 10 個請求,這樣 WEB 伺服器同時收到 1000 個并發請求的,并且在送出請求後,立刻斷掉與代理的連接配接,避免代理傳回的資料将本身的帶寬堵死,而不能發動再次請求,這時 WEB 伺服器會将響應這些請求的程序進行隊列,資料庫伺服器也同樣如此,這樣一來,正常請求将會被排在很後被處理,就象本來你去食堂吃飯時,一般隻有不到十個人在排隊,今天前面卻插了一千個人,那麼輪到你的機會就很小很小了,這時就出現頁面打開極其緩慢或者白屏。
三、阿裡雲CC攻擊防護解決方案
| 産品名稱 | 簡介 | 應用場景 |
|---|---|---|
| Web應用防火牆 | 雲盾Web應用防火牆(Web Application Firewall,簡稱 WAF)基于雲安全大資料能力,用于防禦SQL注入、XSS跨站腳本、常見Web伺服器插件漏洞、木馬上傳、非授權核心資源通路等OWASP常見攻擊,并過濾海量惡意CC攻擊,避免您的網站資産資料洩露,保障網站的安全與可用性。 | 既有CC防護需求,由于web應用攻擊防護要求;Web應用攻擊防護:通用Web攻擊防護、0day漏洞虛拟更新檔、網站隐身;緩解惡意CC攻擊:過濾惡意的Bot流量,保障伺服器性能正常;業務安全保障:提供業務風控方案,解決接口防刷、防爬等業務安全風險; |
| DDoS高防IP | 阿裡雲提供的解決網際網路伺服器(包括非阿裡雲主機)遭受大流量DDoS/CC攻擊的安全方案。通過配置DDoS高防,将攻擊流量牽引至高防IP,攔截惡意流量,確定源站伺服器穩定可靠。 | 既有防DDoS攻擊需求,存在被CC攻擊的情況;如:重大線上直播、活動推廣促銷場景的DDoS攻擊防護。業務遭競争對手惡意攻擊、勒索場景的安全防護。移動業務(APP)遭惡意注冊、刷單、刷流量場景的安全防護; |
| SCDN | SCDN即擁有安全防護能力的CDN服務,提供穩定加速的同時,智能預判攻擊行為,通過智能的排程系統将DDoS攻擊請求切換至高防IP完成清洗,而真正使用者的請求則正常從加速節點擷取資源。加速節點的分布式架構還同時具備防CC攻擊的能力,真正達到 加速 和 安全 兼顧。 | 即有CDN加速需求;由于安全CC防護和DDoS防護需求的;阿裡雲SCDN 基于 阿裡雲CDN 的優質邊緣加速資源,深度內建阿裡雲盾的專業攻防政策,可一站式提供安全和加速的整體解決方案。 |
四、CC攻擊防護
當網站受到CC攻擊時,第一優先級為想辦法恢複業務;可以嘗試直接在Web應用防火牆開啟CC安全防護 攻擊緊急,需要注意的是,攻擊緊急模式适用于網頁/H5頁面,但不适用于API/Native App業務(會造成大量誤殺),針對後面這個情況,我們建議使用CC自定義防護;根據攻擊者所攻擊的特征配置防護規則。
1.CC防護思路
分析請求日志找出攻擊者的特征;
針對攻擊者的特征,使用工具将惡意的請求進行封堵;
2.CC攻擊一般特征
攻擊的目标URL異常集中;
攻擊的源IP異常集中;
攻擊的源IP在某幾個IP段或者某幾個省;
使用相同的Referer或者User-Agent等;
3. CC防護案例
有了這些概念,那麼我們根據這幾個特征去通過分析日志。 我們以這個網站為例:www.xxxx.cn 在如圖的這個時間段内,峰值最高打了13W左右的QPS。
碰到這個情況,我們根據之前的CC攻擊特征;先分析被攻擊的URL是哪個?我們這裡使用的是自動化的分析工具sls日志服務;
3.1. 分析日志
使用sls日志服務查詢得到結果絕大部分的請求都在通路 //xxx/index.php這個URL,而正常情況下這個URL,不太可能有那麼高的通路.
發現了這個攻擊特征之後,那麼在WAF的控制台上查到CC自定義防護中配置這個路徑進行防護。
3.2. 配置防護
配置如下:URI使用我們通過日志分析出來的路徑完全比對;檢測10S,單一源IP通路5次,執行封禁,封禁30分鐘;
可以了解為,一個源IP在10S内通路超過5次,就觸發封禁;這是一個比較嚴格的政策;這個頻率可以根據自己業務的經驗進行調整;
當然如果發現防護效果不好,可以初步的設定更加嚴格的政策。同時也可以選“人機識别”進行防護,人機識别是WAF傳回一段特殊的代碼給用戶端(WAF傳回200狀态碼),判斷用戶端是否可能正常執行這個代碼;如果能夠執行則通過驗證,然後放行;如果無法執行,這個用戶端IP就會加黑對應的時間。 如果在網站架構中,WAF前端有高防或者CDN之類的産品,推薦使用人機識别進行防護。
3.3. 深挖攻擊特征
在這個時候網站業務正在慢慢恢複;我們繼續分析日志,找到更加精确的攻擊特征加以防護,
分析用戶端IP分布
我們通過分析用戶端真實IP位址時,TOP10的IP位址以及地域分布情況如下,看不出明顯的異常。
分析user_agent特征
有大量的請求使用到的UA是“"Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.4; en-US; rv:1.9b5) Gecko/2008032619 Firefox/3.0b5”這個UA,看着是一個MAC OS系統下FireFox的浏覽器,由于業務是APP類型的;很少會有MAC OS系統下的通路,同時我們對比正常時間段通路記錄的user_agent 沒有發現 Firefox 字樣的user_agent記錄;可以判斷該user_agent 是異常的;
根據這個攻擊特征,我們使用WAF的精準通路控制政策對該user_agent進行控制,配置如下,對于包含Firefox進行封禁;阻斷的政策
通過這種組合政策的防護政策能夠更好保護業務正常對外提供服務。