`
- 浏览:
956549 次
-
CC攻击原理及防范新思路
作者:冰盾防火墙 网站:www.bingdun.com
1. CC基本原理
CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求,如数据库查询等,导致服务器进行大量计算而很快达到自身的处理能力而形成DOS,而攻击者一旦发送请求给代理后就主动断开连接,因为代理并不因为客户端这边连接的断开就不去连接目标服务器,因此攻击机的资源消耗相对很小,而从目标服务器看来,来自代理的请求都是合法的。
2. 以前的方法
为防范CC,以前的方法一个是限制每个IP的连接数,这个在地址范围很广阔的情况下比较难实现;二是限制代理的访问,因为一般的代理都会在HTTP头中带X_FORWARDED_FOR字段,但也有局限,有的代理的请求中是不带该字段的,另外有的客户端确实需要代理才能连接目标服务器,这种限制就拒绝了这类合法客户。
3. 新思路
CC有效性在于攻击方不接受服务器回应的数据,发送完请求后就主动断开连接,因此要确认连接是否是CC,服务器端不立即执行URL请求命令,而是简单的返回一个页面转向的回应,回应中包含新的URL请求地址,如果是正常访问,客户端会主动再次连接到转向页面,对用户来说是透明的;而对于CC攻击者,由于不接收回应数据,因此就不会重新连接,服务器也就不需要进行查询操作。
4. 具体实现: CC cookie
具体实现的关键在于转向的URL如何构造,我设计的方法是增加CC cookie,即在原URL请求的最后面添加一个独一无二的cookie,文本形式,作为URL的一部分;当包含该cookie的URL重新返回时,先检查该cookie是否合法,如果合法,则说明该URL是合法的再次连接,将URL中的cookie部分抹去,恢复为原始的URL请求再发给服务器进行正常访问;否则拒绝该URL。
5. 安全性考虑
为保证此方法的有效,需要注意以下问题:
1)cookie的选择,要对每个URL请求都不同,即使URL是相同的,有两种方式,一种是根据所请求的URL和客户端的信息和一些随机信息计算出一个cookie值,检验时按相同的方式计算cookie是否符合;第二种方式是直接随机生成cookie,然后将cookie保存到一个库中,检验时就是检查客户端提交的cookie是否在库中。无论哪种方法,cookie的选择必须足够随机,不能被猜出计算规律或猜出当前cookie库中有哪些cookie;
2)cookie添加到URL时的格式标志必须独特,不能和正常URL请求中有冲突的地方,这个应该是可以控制的,因为要保护的服务器是在自己控制之下的,URL有哪些格式是可控的,因此设计一个独特的cookie标志是可行的,而且这个标志格式应该经常变换;
3)cookie的有效时间,cookie只在一定时间内有效,超时将删除,时间选择必须合适,不要太长或太短;
4)cookie dos攻击,如果CC攻击程序发现服务器用了cookie保护而中预先带了cookie,必须能比较快速地检测这个cookie是否合法,对于非法cookie的连接请求丢弃;cookie标志也要经常变换以防止DOS;
5)提高效率方法,对于HTTP/1.1的连接,有keep-alive选项,一个连接中可以进行多次URL请求操作,对于已经认证了的连接,如果该连接中继续有URL请求的话,可以不用再进行cookie认证以提高效率;此外,应该可以指定只对某些类型的URL进行cookie处理,如cgi、php、asp的请求,而普通静态文本或图片、媒体等URL不用进行cookie处理。
6. 结论
本文提出的这种CC cookie防御方法可以有效防御CC攻击,而不会影响正常用户的访问,对用户来说是透明的。本方法比较适合在防火墙上实现,也可以由服务器本身实现。
分享到:
Global site tag (gtag.js) - Google Analytics
相关推荐
CC攻击原理及防范。对cc攻击这方面很全面的剖析。
显然是网站受到的DDoS攻击。大家都有这样的经历,就是在访问某一公司网站或者论坛时,如果这个网站或者论坛流量比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,网站或论坛的页面越多,...
CC攻击的原理 CC攻击的原理 CC攻击的原理 看过之后其实很简单
C攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到虚假IP,见不到特别大的异常流量,但造成...因此,大家有必要了解CC攻击的原理及如果发现CC攻击和对其的防范措施。
CC3D飞控原理图及PCB
CC3D原理图
cc2530原理图 的新型 CC2530 是一款真正针对 IEEE 802.15.4、ZigBee、ZigBee RF4CE 和智能能源应用的片上系统解决方案。由于具有高达 256KB 的大容量闪存,CC2530 非常适合 ZigBee PRO 应用。64K 以及更高版本将支持...
很不错的一篇关于CC2430芯片的介绍,其中里面还有他的实验原理机器应用 很不错!!!!
Linux减缓CC攻击
安逸CC攻击防御卫士中的CC攻击智能防御是该软件的亮点功能。和普通防CC攻击(包括硬件防火墙)相比,他更加人性化,主要解决了不会产生误封。一般服务器开启CC防火墙后,会有很大的弊端(如用代理无法访问、在线支付...
CC2530原理图需要的所有元件库,而且包括CC2530、CC2591、倒F天线、电阻、电容等等元件库
cc2530 zigbee rf 原理图
CC2530 原理图 ZIGbee 无线 定位 PROTEL打开
可编程 RF 收发器 芯片 CC1000 原理 应用
CC1101原理图和代码.关于CC1101的配置.大家可以参考调试
本文档的主要内容详细介绍的是CC2530开发板的电路原理图免费下载。 CC2530 是用于2.4-GHz IEEE 802.15.4、ZigBee 和RF4CE 应用的一个真正的片上系统(SoC)解决方案。它能够以非常低的总的材料成本建立...
CC2530 成都无线龙 原理图资料
CC攻击防御CC攻击防御CC攻击防御CC攻击防御CC攻击防御
CC2530原理图元件库,Altium Designer中找不到CC2530芯片原理图和对应的PCB小伙伴可以下载哈
基于熵的CC攻击检测防御方法,张烜,,分析了一种应用层DDoS攻击——CC攻击的原理和过程,提出了一种基于信息熵的CC攻击检测防御方法。在获取信息样本时,采用了滑动窗口�