张杭烽网络营销顾问博客

　　最近张杭烽网络营销博客被人CC攻击，昨天晚上也发现朋友的电子商务门户也被人CC攻击，看来现在无聊的人还真是多啊。没办法，有句话说做站长没被黑过那就不算成年，呵呵。CC攻击并不一定全然没有帮助，至少可以迫使我们学习更多CC攻击原理、CC攻击表现和CC防御策略方面的知识。

　　张杭烽整理了相关资料，希望对朋友们了解这方面的信息有所帮助。在CC攻击事件中，防御策略可以分为两大类：1、硬件防护；2、程序防护。如果是商业性的企业和公司建议尽量采取CC硬防的方式，简单快捷，投入也比较小，只需要选择具备CC硬防的IDC服务器就可以了。而对于网络团队来说，运作门户级平台，尽可能地采取程序防护的方式，对于平台运营会更加有效。

CC硬防IDC推荐：炎黄网络 www.china35.com 支持16G CC攻击硬防，一般的CC攻击都在百兆内

CC攻击专题介绍：

　　很多朋友都知道木桶理论，一桶水的最大容量不是由它最高的地方决定的，而是由它最低的地方决定，服务器也是一样，服务器的安全性也是由它最脆弱的地方决定的，最脆弱的地方有多危险服务器就有多危险。DDOS也是一样，只要你的服务器存在一个很耗资源的地方，限制又不够，就马上成为别人DDOS的对象。比如SYN-FLOOD，它就是利用服务器的半连接状态比完全连接状态更耗资源，而SYN发动方只需要不停的发包，根本不需要多少资源。

　　一个好的DDOS攻击必须是通过自己极少资源的消耗带来对方较大的资源消耗，否则比如ICMP-FLOOD和UDP-FLOOD都必须和别人一样大的带宽，对方服务器消耗多少资源自己也得赔上多少资源，效率极其低下，又很容易被人发现，现在基本没有什么人用了。

攻击原理

　　CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，对不？！一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观，现在知道为什么很多空间服务商都说大家不要上传论坛，聊天室等东西了吧。

　　一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的体积有200MB大小，系统很可能就要在这200MB大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。

　　CC就是充分利用了这个特点，模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面）。很多朋友问到，为什么要使用代理呢？因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。

　　使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接（我知道的记录是有人利用2000个代理产生了35万并发连接）。

　　可能很多朋友还不能很好的理解，我来描述一下吧。我们假设服务器A对Search.asp的处理时间需要0.01S（多线程只是时间分割，对结论没有影响），也就是说他一秒可以保证100个用户的Search请求，服务器允许的最大连接时间为60s，那么我们使用CC模拟120个用户并发连接，那么经过1分钟，服务器的被请求了7200次，处理了6000次，于是剩下了1200个并发连接没有被处理。有的朋友会说：丢连接！丢连接！问题是服务器是按先来后到的顺序丢的，这1200个是在最后10秒的时候发起的，想丢？！还早，经过计算，服务器满负开始丢连接的时候，应该是有7200个并发连接存在队列，然后服务器开始120个/秒的丢连接，我们发动的连接也是120个/秒，服务器永远有处理不完的连接，服务器的CPU 100%并长时间保持，然后丢连接的60秒服务器也判断处理不过来了，新的连接也处理不了，这样服务器达到了超级繁忙状态。

　　蝴蝶：我们假设服务器处理Search只用了0.01S，也就是10毫秒（这个速度你可以去各个有开放时间显示的论坛看看），我们使用的线程也只有120，很多服务器的丢连接时间远比60S长，我们的使用线程远比120多，可以想象可怕了吧，而且客户机只要发送了断开，连接的保持是代理做的，而且当服务器收到SQL请求，肯定会进入队列，不论连接是否已经断开，而且服务器是并发的，不是顺序执行，这样使得更多的请求进入内存请求，对服务器负担更大。

　　当然，CC也可以利用这里方法对FTP进行攻击，也可以实现TCP-FLOOD，这些都是经过测试有效的。

防范方法

说了攻击原理，大家肯定会问，那么怎么防御？使用硬件防火墙我不知道如何防范，除非你完全屏蔽页面访问，我的方法是通过页面的编写实现防御。

1、使用Cookie认证。这时候朋友说CC里面也允许Cookie，但是这里的Cookie是所有连接都使用的，所以启用IP+Cookie认证就可以了。

2、利用Session。这个判断比Cookie更加方便，不光可以IP认证，还可以防刷新模式，在页面里判断刷新，是刷新就不让它访问，没有刷新符号给它刷新符号。给些示范代码吧，Session：

<%if session(“refresh”)<> 1 then
Session(“refresh”)=session(“refresh”)+1
Response.redirect “index.asp”
End if
%>

这样用户第一次访问会使得Refresh=1，第二次访问，正常，第三次，不让他访问了，认为是刷新，可以加上一个时间参数，让多少时间允许访问，这样就限制了耗时间的页面的访问，对正常客户几乎没有什么影响。

3、通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP，这招完全可以找到发动攻击的人，当然，不是所有的代理服务器都发送，但是有很多代理都发送这个参数。详细代码：

<%
Dim fsoObject
Dim tsObject
dim file
if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then
response.write "无代理访问"
response.end
end if
Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")
file = server.mappath("CCLog.txt")
if not fsoObject.fileexists(file) then
fsoObject.createtextfile file,true,false
end if
set tsObject = fsoObject.OpenTextFile(file,8)
tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now()
Set fsoObject = Nothing
Set tsObject = Nothing
response.write "有代理访问"
%>

这样会生成CCLog.txt，它的记录格式是：真实IP [代理的IP] 时间，看看哪个真实IP出现的次数多，就知道是谁在攻击了。将这个代码做成Conn.asp文件，替代那些连接数据库的文件，这样所有的数据库请求就连接到这个文件上，然后马上就能发现攻击的人。

4、还有一个方法就是把需要对数据查询的语句做在Redirect后面，让对方必须先访问一个判断页面，然后Redirect过去。

5、在存在多站的服务器上，严格限制每一个站允许的IP连接数和CPU使用时间，这是一个很有效的方法。

　　CC的防御要从代码做起，其实一个好的页面代码都应该注意这些东西，还有SQL注入，不光是一个入侵工具，更是一个DDOS缺口，大家都应该在代码中注意。举个例子吧，某服务器，开动了5000线的CC攻击，没有一点反应，因为它所有的访问数据库请求都必须一个随机参数在Session里面，全是静态页面，没有效果。突然发现它有一个请求会和外面的服务器联系获得，需要较长的时间，而且没有什么认证，开800线攻击，服务器马上满负荷了。
　　　
　　代码层的防御需要从点点滴滴做起，一个脚本代码的错误，可能带来的是整个站的影响，甚至是整个服务器的影响，慎之！

攻击现象：
　　服务器的流量瞬间可达到几十M以上，网站打不开。重启iis会发现流量马上就降下来。查看IIS日志会发现很多不同的IP都反复访问一个相同的文件。查看C:\WINDOWS\system32\LogFiles\HTTPERR 会发现很多出错的IIS日志，如下：
2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503 30 ConnLimit pool21
2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 503 30 ConnLimit pool21
2007-09-02 15:23:20 222.215.199.200 3457 218.5.78.51 80 - - - - - Timer_ConnectionIdle -
2007-09-02 15:53:54 61.29.176.251 4392 218.5.77.51 80 HTTP/1.1 GET /lyyd.mp3 - 5066 Timer_MinBytesPerSecond
2007-09-02 15:54:05 61.29.176.251 4316 218.5.77.51 80 HTTP/1.1 GET /lyyd.mp3 - 5066 Timer_MinBytesPerSecond 　　...
　　可以看出很多不同的IP都在访问list.asp这个文件。以上现象就是CC攻击的特征。
　　根据发动CC攻击所使用的肉机数量，小的攻击可以导致网站很慢或者不稳定，大的攻击可以让网站一直都无法打开。

　　因这类攻击，是模拟正常用户不断请求一个网页。所以一般的防火墙很难防御。下面我们根据实际工作经验，讲一下如何不用防火墙来解决这个攻击问题。

　　因为CC攻击都是使用的肉机或代理来访问我们的服务器的，它跟synflood攻击不一样。synfoold一直是不断变化的虚假IP，而CC攻击的IP都是真实的IP而基本上不变化的，只要我们用安全策略把这些IP全部封掉就可以了。

　　看过有网友介绍的方法，不过是手工一条一条地封，而攻击IP一般都是数千个不同的IP。用手工封IP的办法太麻烦。下面我们用程序来实现自动封这些IP！

　　程序主要是读取这个网站的iis日志，分析出其中的IP地址，用安全策略自动封闭。VBS代码如下：

程序代码
'代码开始

Set fileobj=CreateObject("Scripting.filesystemobject")
logfilepath="E:\w3log\W3SVC237\ex070512old.log"    '注意指定受攻击网站的日志路径。
'如果是虚拟主机，要查是哪个网站受攻击，可以查看：C:\WINDOWS\system32\LogFiles\HTTPERR ，根据错误日志很容易分析出来。
writelog "netsh ipsec static add policy name=XBLUE"
writelog "netsh ipsec static add filterlist name=denyip"

overip=""
f_name=logfilepath
'指定日志文件

'程序功能：把logfiles中的ＩＰ提取成ipsec需要的过滤格式，导入ipsec中过滤。适合某个网站受大量CC攻击的情况。
set fileobj88=CreateObject("Scripting.FileSystemObject")
Set MYFILE=fileobj88.OpenTextFile(f_name,1,false)
contentover=MYFILE.ReadAll()
contentip=lcase(contentover)
MYFILE.close
set fileobj88=nothing
on error resume next
myline=split(contentip,chr(13))
for i=0 to ubound(myline)-1

    myline2=split(myline(i)," ")
    newip=myline2(6)
    '指定分离的标识字符串！
    if instr(overip,newip)=0 then '去除重复的IP。
        overip=overip&newip
        dsafasf=split(newip,".")
        if ubound(dsafasf)=3 then
            writelog "netsh ipsec static add filter filterlist=denyip srcaddr="&newip&" dstaddr=Me dstport=80 protocol=TCP"
        end if
    else
        wscript.echo newip &" is exits!"
    end if
next
writelog "netsh ipsec static add filteraction name=denyact action=block"
writelog "netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact"
writelog "netsh ipsec static set policy name=XBLUE assign=y"

Sub writelog(errmes)  '导出IPsec的策略文件为一个bat文件。
    ipfilename="denyerrorip.bat"
    Set logfile=fileobj.opentextfile(ipfilename,8,true)
    logfile.writeline  errmes
    logfile.close
    Set logfile=nothing
End Sub
'代码结束

　　把上述代码存为一个.vbs文件，设置好其中日志的路径。双击运行即可，运行完毕后生成一个denyerrorip.bat文件，这个是ipsec所需要的策略文件，直接双击运行即可。
　　运行完毕即可解决CC攻击问题。

相关资料：
　　在IIS 6.0中，记录日志的功能已经改为由http.sys实现，http.sys在内核模式下运行。这一改进加快了日志写入速度，同时避免了多个工作进程争用同一日志文件。某些特殊的情况下，http.sys会遇到错误，这时它应该但却不能将日志信息写入Web网站的日志，例如，工作进程正在被回收，禁止http.sys处理用户请求，或者用户试图连接到服务器，但请求中只提供了IIS所需信息的一部分。如果出现这类情况，http.sys将把事件写入一个新的日志文件httperr.log。

　　在排解故障、优化IIS 6.0的过程中，httperr.log日志文件是十分重要的。默认情况下，httperr.log文件保存在\system32\logfiles目录，但可以修改，修改方法是找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters注册子键，在它下面添加一个名为ErrorLoggingDir的字符串值，在ErrorLoggingDir中设置保存日志文件的完整路径。在httperr.log日志文件中可以找到的信息包括：所有的503（服务不可用）错误，空闲连接超时，解析URL时出现的各种错误，最后10个提交给失败的应用程序池的请求。