关于传说中的拒绝服务攻击CC

[ 2005-07-03 21:48:08 | 作者: Admin ] 字号: | |
近来经常听到圈子里的朋友跟我提到CC这种攻击

见不到虚假ip
见不到特别大的流量
但无法进行正常连接
传说一条adsl 足以搞掂一台高性能服务器
据可靠消息 重庆电信的很多游戏服务器虽在黑洞之下但饱受CC之苦

本人只是耳闻并没有机会亲历
我在google搜索
CC相关内容很少
XFOCUS给出了一个什么CCsource作者是bigboyq
这里是他的blog http://blog.n-ku.com/blog.asp?name=bigboyq

我粗略的看了下CCsource这个东西
他的基本原理就是 攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主

机拒绝服务( Denial of Service )

这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service )
与典型的分布式拒绝服务攻击不同 攻击者不需要去寻找大量的傀儡机 代理服务器充当了这个角色

bigboyq针对自己的CC提出了解决办法我引述原文:
"对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击,代理在转发数据的时候会向HTTP服务器提交一个x-

forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿

名的,就是说会发送x-forward-ip的代理。"

简单的说bigboyq的这个CC攻击器的实现 可以通过特征过滤的办法 有效的解决

我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。
这说明这些案例中攻击者使用的CC并不是bigboyq写的CC,但据我个人估计很可能CC攻击都是用了同样的原理。
借助的可能是SOCKS5 proxy或者SOCK4 proxy。

这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数。造成拒绝服务。

例如很多apache连接数不过是512或者1024这是很容易造成DOS。

本贴意在抛砖引玉 希望行家们提供更准确地信息 揭开CC神秘的面纱
Share
评论Feed 评论Feed: http://www.85815.com/feed.asp?q=comment&id=516
UTF-8 Encoding 引用链接: http://www.85815.com/trackback.asp?id=516&key=
这篇日志没有评论.
发表
表情图标
[smile] [confused] [cool] [cry]
[eek] [angry] [wink] [sweat]
[lol] [stun] [razz] [redface]
[rolleyes] [sad] [yes] [no]
[heart] [star] [music] [idea]
UBB代码
转换链接
表情图标
悄悄话
用户名:   密码:   注册?
验证码 * 请输入验证码