什么是CC攻擊？網(wǎng)站被CC攻擊的癥狀有哪些？

CC主要是用來(lái)攻擊頁(yè)面的.大家都有這樣的經(jīng)歷，就是在訪(fǎng)問(wèn)論壇時(shí)，如果這個(gè)論壇比較大，訪(fǎng)問(wèn)的人比較多，打開(kāi)頁(yè)面的速度會(huì)比較慢!訪(fǎng)問(wèn)的人越多，論壇的頁(yè)面越多，數(shù)據(jù)庫(kù)就越大，被訪(fǎng)問(wèn)的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀(guān)。

一個(gè)靜態(tài)頁(yè)面不需要服務(wù)器多少資源，甚至可以說(shuō)直接從內(nèi)存中讀出來(lái)發(fā)給你就可以了，但論壇不一樣，每看一個(gè)帖子系統(tǒng)需要到數(shù)據(jù)庫(kù)中判斷我是否有讀讀帖子的權(quán)限，如果有，就讀出帖子里面的內(nèi)容，顯示出來(lái)——這里至少訪(fǎng)問(wèn)了2次數(shù)據(jù)庫(kù)，如果數(shù)據(jù)庫(kù)的體積有200MB大小，系統(tǒng)很可能就要在這200MB大小的數(shù)據(jù)空間搜索一遍。如果查找一個(gè)關(guān)鍵字，那么時(shí)間更加可觀(guān)，因?yàn)榍懊娴乃阉骺梢韵薅ㄔ谝粋€(gè)很小的范圍內(nèi)，比如用戶(hù)權(quán)限只查用戶(hù)表，帖子內(nèi)容只查帖子表，而且查到就可以馬上停止查詢(xún)，而搜索肯定會(huì)對(duì)所有的數(shù)據(jù)進(jìn)行一次判斷，消耗的時(shí)間相當(dāng)大。

CC就是充分利用了這個(gè)特點(diǎn)，模擬多個(gè)用戶(hù)(多少線(xiàn)程就是多少用戶(hù))不停的進(jìn)行訪(fǎng)問(wèn)(訪(fǎng)問(wèn)那些需要大量數(shù)據(jù)操作，就是需要大量CPU時(shí)間的頁(yè)面)。很多朋友問(wèn)到，為什么要使用代理呢？因?yàn)榇砜梢杂行У仉[藏自己的身份，也可以繞開(kāi)所有的防火墻，因?yàn)榛旧纤械姆阑饓Χ紩?huì)檢測(cè)并發(fā)的TCP/IP連接數(shù)目，超過(guò)一定數(shù)目一定頻率就會(huì)被認(rèn)為是Connection-Flood。

使用代理攻擊還能很好的保持連接，我們這里發(fā)送了數(shù)據(jù)，代理幫我們轉(zhuǎn)發(fā)給對(duì)方服務(wù)器，我們就可以馬上斷開(kāi)，代理還會(huì)繼續(xù)保持著和對(duì)方連接(我知道的記錄是有人利用2000個(gè)代理產(chǎn)生了35萬(wàn)并發(fā)連接)。

我們假設(shè)服務(wù)器A對(duì)Search.asp的處理時(shí)間需要0.01S(多線(xiàn)程只是時(shí)間分割，對(duì)結(jié)論沒(méi)有影響)，也就是說(shuō)他一秒可以保證100個(gè)用戶(hù)的Search請(qǐng)求，服務(wù)器允許的最大連接時(shí)間為60s，那么我們使用CC模擬120個(gè)用戶(hù)并發(fā)連接，那么經(jīng)過(guò)1分鐘，服務(wù)器的被請(qǐng)求了7200次，處理了6000次，于是剩下了1200個(gè)并發(fā)連接沒(méi)有被處理.有的朋友會(huì)說(shuō):丟連接!丟連接!問(wèn)題是服務(wù)器是按先來(lái)后到的順序丟的，這1200個(gè)是在最后10秒的時(shí)候發(fā)起的，想丟?!還早，經(jīng)過(guò)計(jì)算，服務(wù)器滿(mǎn)負(fù)開(kāi)始丟連接的時(shí)候，應(yīng)該是有7200個(gè)并發(fā)連接存在隊(duì)列，然后服務(wù)器開(kāi)始120個(gè)/秒的丟連接，我們發(fā)動(dòng)的連接也是120個(gè)/秒，服務(wù)器永遠(yuǎn)有處理不完的連接，服務(wù)器的CPU 100%并長(zhǎng)時(shí)間保持，然后丟連接的60秒服務(wù)器也判斷處理不過(guò)來(lái)了，新的連接也處理不了，這樣服務(wù)器達(dá)到了超級(jí)繁忙狀態(tài)。

當(dāng)然，CC也可以利用這里方法對(duì)FTP進(jìn)行攻擊，也可以實(shí)現(xiàn)TCP-FLOOD，這些都是經(jīng)過(guò)測(cè)試有效的。

網(wǎng)站被CC攻擊的癥狀

1.如果網(wǎng)站是動(dòng)態(tài)網(wǎng)站，比如asp/asp.net/php等，在被CC攻擊的情況下，IIS站點(diǎn)會(huì)出錯(cuò)提示SERVER IS TOO BUSY，如果不是使用IIS來(lái)提供網(wǎng)站服務(wù)，會(huì)發(fā)現(xiàn)提供網(wǎng)站服務(wù)的程序無(wú)緣無(wú)故自動(dòng)崩潰，出錯(cuò)。如果排除了網(wǎng)站程序的問(wèn)題，而出現(xiàn)這類(lèi)型的情況，基本上可以斷定是網(wǎng)站被CC攻擊了。

2.如果網(wǎng)站是靜態(tài)站點(diǎn)，比如html頁(yè)面，在被CC攻擊的情況下，打開(kāi)任務(wù)管理器，看網(wǎng)絡(luò)流量，會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用里數(shù)據(jù)的發(fā)送出現(xiàn)嚴(yán)重偏高的現(xiàn)象，在大量的CC攻擊下，甚至?xí)_(dá)到99%的網(wǎng)絡(luò)占用，當(dāng)然，在被CC攻擊的情況下網(wǎng)站是沒(méi)辦法正常訪(fǎng)問(wèn)的，但是通過(guò)3389連接服務(wù)器還是可以正常連接。

3.如果是被小量CC攻擊，則站點(diǎn)還是可以間歇性訪(fǎng)問(wèn)得到，但是一些比較大的文件，比如圖片會(huì)出現(xiàn)顯示不出來(lái)的現(xiàn)象。如果是動(dòng)態(tài)網(wǎng)站被小量CC攻擊，還會(huì)發(fā)現(xiàn)服務(wù)器的CPU占用率出現(xiàn)飆升的現(xiàn)象。這是最基本的CC攻擊癥狀。

如果你的網(wǎng)站出現(xiàn)上面所說(shuō)的被CC攻擊的癥狀之一，請(qǐng)不要慌張，只要聯(lián)系我們購(gòu)買(mǎi)一個(gè)火傘云APP盾，就可以非常有效的防御各種類(lèi)型的CC攻擊，一勞永逸。

審核編輯黃宇