利用防火墙屏蔽CC和DDOS流量攻击IP

SYN/CC恶意攻击(ChallengeCollapsar)是ddos攻击(分散式拒绝服务攻击)的1种,同样是1种比较常见的网站被攻击方式 ,黑客攻击者根据服务器代理或是肉鸡向向被害网站服务器不断地发大批量数据包,导致另一方服务器空间消耗殆尽,总是到服务器宕机没有响应。

SYN/CC恶意攻击的恶意攻击技术难度低,运用专用工具和许多IP代理,1个初、初级的笔记本水准的普通用户就能够实行恶意攻击。可是,假如掌握了SYN/CC恶意攻击的工作原理,那么就不会太难针对SYN/CC恶意攻击实行许多合理的安全防范措施。

一般 防止SYN/CC恶意攻击的方式 有几类,1个是根据服务器防火墙,另一个许多网站安全公司也提供了许多服务器防火墙服务项目,比如说某某网站防火墙和某某宝,也有1种方式 是自个写程序代码防止,昨晚企业网站遇到SYN/CC恶意攻击,这也使我勇于尝试了一下下各种各样防止SYN/CC恶意攻击方式 的有效性。

刚开始我觉得采用某某网站防火墙来防止恶意攻击,从操作界面上看,好像是防止了大批量的SYN/CC恶意攻击,但登陆企业网站后看到,总流量依然不正常,恶意攻击還是依然,看上去这类网站防火墙的实际效果并沒有做到。

企业网站防止SYN/CC恶意攻击的方式,从工作原理上看,绝大多数全部的服务器防火墙都是会监测高并发的TCP/IP连接总数,超出相应总数相应工作频率就会被以为是Connection-Flood。但假如IP的总数充足大,促使单独一个IP的线程数偏少,那样服务器防火墙不一定能阻拦SYN/CC恶意攻击。

事实上,根据研究网站流量统计,還是特别容易辨别出哪一个IP是SYN/CC恶意攻击的,由于SYN/CC恶意攻击终究是根据程序代码来爬取网页页面,与一般浏览者的特点差别還是挺大的,比如说一般浏览者浏览1个网页页面,一定会持续爬取网页页面的html语言文件、css样式文件、JavaScript文件和照片等一连串有关文件,而SYN/CC黑客攻击者单单总是爬取1个网页地址地址的文件,不可能爬取其他种类的文件,其UserAgent也绝大多数和一般浏览者不一样,这就能够在网站服务器上特别容易辨别出哪几个浏览者是SYN/CC恶意攻击了,如果你能够分辨出黑客攻击者的IP,那样防范措施就很容易,只须要成批将这类IP拦截,就可以做到防护SYN/CC恶意攻击的意义。

最后,我花了二十分钟写了一段段小程序,运转过后全自动屏蔽掉了数以百计IP,企业网站才算一切正常,进而证实,服务器防火墙针对SYN/CC恶意攻击的攻击防御并非合理,最有效的办法還是在服务端根据程序代码全自动拦截来防止。我觉得SYN/CC恶意攻击的门坎还真低啊,搞个几万个代理或是肉鸡就能恶意攻击别人了,其成本费用比较低,但实际效果较为非常明显,假如黑客攻击者总流量极大的情况下,根据消耗网络带宽资源的方法都能够开展恶意攻击。可是,SYN/CC恶意攻击也有非常明显的技术性缺点,就是说黑客攻击者的IP并非大量的,一般就是说好几百上千人的等级,而且是真正浏览了网页页面,这就促使企业网站能够根据程序代码过滤的方法,轻轻松松获得到这类黑客攻击者IP,成批开展拦截,那样这类SYN/CC恶意攻击就会获得防。如果你的网站受到CC攻击,并且连接数达到上万,服务器资源根本无法处理,建议找专业的网站安全公司来处理解决,国内SINE安全,绿盟,鹰盾安全,深信服,启明星辰在CC,DDOS流量防护上做的比较专业。

分享: