黑客web脚本攻击与防御技术核心剖析 CC攻击详解

11/27 23:20:38 来源网站:辅助卡盟网

# 样本一
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {

xss跨站脚本攻击剖析与防御_黑客web脚本攻击与防御技术核心剖析_黑客攻击技术


# 样本二,提高了burst值,明显nginx成功的请求数上去
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        limit_req   zone=one  burst=10 nodelay;
    }
}

# 样本三,去掉nodelay,成功的请求数在100左右而失败的请求数变成0了
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        limit_req   zone=one  burst=10;
    }

从这里的数据可以看到将nodelay的参数去掉的话,成功的请求数在100左右而失败的请求数变成0了,为什么呢?

存在的问题:

xss跨站脚本攻击剖析与防御_黑客攻击技术_黑客web脚本攻击与防御技术核心剖析

虽然用limit_req_module可以一定上的防止CC攻击,但是有误杀概率;国内宽带用户的IP地址已经大量内网化,几百人共享一个IP的可能性是很大的。

六、防御方法

1、对于轻量级CC工具,通过工具、脚本进行屏蔽IP限制防御,CCKiller:

2、接入高防CDN,隐藏服务器源IP,自动识别攻击流量,清洗后将正常访客流量回源到源服务器IP上,保障业务安全。

3、网站页面静态化: 网站页面静态化可以较大程度的减少系统资源消耗,从而达到提高抗系统抗攻击能力(业务不同,成本高)。

4、域名欺骗解析:如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受(杀敌一千,自损八百)。

5、nginx 配置限制,如上

七**、建议后续工作:**

保守:站点应尽快进行服务能力升级。

积极:尽所能,追溯攻击者。

追溯攻击者:

CC:proxy-forward-from-ip

单个IP高并发的DDOS:找到访问异常的、高度可疑的ip列表,exploit,搜集、分析数据,因为一个傀儡主机可被二次攻占的概率很大(但不建议这种方法)

单个IP低并发的DDOS:以前极少访问被攻击站点,但是在攻击发生时,却频繁访问我们的站点,分析日志得到这一部分ip列表

追溯攻击者的过程中,snat与web proxy增加了追踪的难度,如果攻击者采用多个中继服务器的方法,追溯将变得极为困难。

防御者:

1.应对当前系统了如指掌,如系统最高负载、最高数据处理能力,以及系统防御体系的强项与弱点

2.历史日志的保存、分析

3.对当前系统进行严格安全审计

4.上报公安相关部分,努力追溯攻击者

5.网站,能静态,就一定不要动态,可采取定时从主数据库生成静态页面的方式,对需要访问主数据库的服务使用验证机制。

6.防御者应能从全局的角度,迅速及时地发现系统正在处于什么程度的攻击、何种攻击,在平时,应该建立起攻击应急策略,规范化操作,免得在急中犯下低级错误

对历史日志的分析这时将会非常重要,数据可视化与统计学的方法将会很有益处:

1.分析每个页面的平均访问频率

黑客web脚本攻击与防御技术核心剖析_xss跨站脚本攻击剖析与防御_黑客攻击技术

2.对访问频率异常的页面进行详细分析 分析得到ip-页面访问频率

3.得到对访问异常页面的访问异常ip列表

    暂无相关资讯
黑客web脚本攻击与防御技术核心剖析 CC攻击详解