近来经常听到圈子里的朋友跟我提到CC这种攻击
见不到虚假ip
见不到特别大的流量
但无法进行正常连接
传说一条adsl 足以搞掂一台高性能服务器
据可靠消息 重庆电信的很多游戏服务器虽在黑洞之下但饱受CC之苦
本人只是耳闻并没有机会亲历
我在google搜索
CC相关内容很少
XFOCUS给出了一个什么CCsource作者是bigboyq
这里是他的blog http://blog.n-ku.com/blog.asp?name=bigboyq
我粗略的看了下CCsource这个东西
他的基本原理就是 攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主
机拒绝服务( Denial of Service )
这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service )
与典型的分布式拒绝服务攻击不同 攻击者不需要去寻找大量的傀儡机 代理服务器充当了这个角色
bigboyq针对自己的CC提出了解决办法我引述原文:
"对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击,代理在转发数据的时候会向HTTP服务器提交一个x-
forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿
名的,就是说会发送x-forward-ip的代理。"
简单的说bigboyq的这个CC攻击器的实现 可以通过特征过滤的办法 有效的解决
####我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。(接受wstest 的意见把这里改下)
####我提到我对CC的攻击案例也只是耳闻,不过我觉得这种攻击方式也就是利用proxy充当傀儡机是种不错的想法而且不应该只局限于对web的攻击我没有鼓励攻击之意只是就技术论技术
这说明这些案例中攻击者使用的CC并不是bigboyq写的CC,但据我个人估计很可能CC攻击都是用了同样的原理。
借助的可能是SOCKS5 proxy或者SOCK4 proxy。
这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数。造成拒绝服务。
例如很多apache连接数不过是512或者1024这是很容易造成DOS。
本贴意在抛砖引玉 希望行家们提供更准确地信息 揭开CC神秘的面纱
西门飞 回复于:2005-07-02 22:11:53
好东西.
但是在签名里AD 就不对了........
jiyu2004 回复于:2005-07-03 07:48:33
学习
ALENG_LINUX 回复于:2005-07-04 18:36:25
study
authen 回复于:2005-07-05 08:28:19
cc最早发布在20cn里面,据说是某位专研ddos的哥们用了1个晚上开发的。 :em06:
而且很好用,目前能抵御cc攻击的墙据我所知只有2款(没有黑洞)。呵呵
wstest 回复于:2005-07-05 08:56:29
引用:原帖由 "authen" 发表:
cc最早发布在20cn里面,据说是某位专研ddos的哥们用了1个晚上开发的。 :em06:
而且很好用,目前能抵御cc攻击的墙据我所知只有2款(没有黑洞)。呵呵
没那么神奇,你可以去问问CC的作者。 今年年初的时候CC就已经不能用来CC(Challage Collapsar)了。至于什么听说2款墙能挡,不知耳闻的是那两种,我还没见过哪种防火墙敢说比专用抗拒绝服务的设备在这方面的更强的。贴出名字来偶试试 :)
引用:原帖由 "zjzf_1" 发表:
我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。
这句就是瞎扯了,如果不攻击WEB,那么CC也就不能称为是CC了。攻击游戏服务器的端口和协议实在太容易。
另外,已经有人因为用CC要去吃几年免费的牢饭了,唉。
zjzf_1 回复于:2005-07-05 11:16:57
注册一个用户就为了发一个帖子?
wstest
新手上路
注册时间: 2005-07-05
最后登录: 2005-07-05
帖子总数: 1
精华帖子: 0
原创精华: 0
我对你写的东西没什么意见 不过对你的身份挺感兴趣
业务员?
wstest 回复于:2005-07-05 12:30:10
引用:原帖由 "zjzf_1" 发表:
注册一个用户就为了发一个帖子?
wstest
新手上路
注册时间: 2005-07-05
最后登录: 2005-07-05
帖子总数: 1
精华帖子: 0
原创精华: 0
我对你写的东西没什么意见 不过对你的身份挺感兴趣
业?.........
因为一年没来我在这里的两个帐号全忘记了密码 :em16:
softiger 回复于:2005-07-20 20:22:40
请问:给CC的 web server,有什么明显的特征吗?
zjzf_1 回复于:2005-07-21 12:01:20
发现很多开着http proxy 的 代理服务器 访问你的 服务器
代理服务器的端口可能比较大 有别于普通web访问
还有就是IDS通常检测出port flood
4dian 回复于:2005-07-21 15:10:09
端口不是关键
各种代理对是否显示client ip不一样 很多proxy是链的
Wstest 是 nsfocus的 嘿嘿
如果post 数据 content-length:xx
恶意发一个小于content-length的
那么服务器会回应100
这样持续xxx个连接
会有什么后果?
zjzf_1 回复于:2005-07-23 10:02:16
嘿嘿port flood这句是 抄 bigboyq 写的readme 的
frosty 回复于:2005-07-27 12:20:28
4dian:
你的意思 不就是占用IIS连接数吗,
要是这样的话,那么,一般的虚拟机用户,可就都危险了>
Ecore 回复于:2005-10-24 19:04:29
其实CC主要还是针对web页面来攻击的,如果不存在web的话。cc也是没有任何办法的。原来就是对一个url不停的请求。从而消耗系统资源。前提是web服务器有数据库.对页面请求,不停的对数据库进行查询.一般会看到iis的进程CPU100%.队列中有很多请求无法释放。带宽不会有什么问题.
1jjk 回复于:2005-11-04 18:29:03
引用:原帖由 authen 于 2005-7-5 08:28 发表
cc最早发布在20cn里面,据说是某位专研ddos的哥们用了1个晚上开发的。 :em06:
而且很好用,目前能抵御cc攻击的墙据我所知只有2款(没有黑洞)。呵呵
大侠
!请说说是哪两款啊?
我的linux被CC了
想作下防御
mafa 回复于:2005-11-04 22:07:40
cc不算“传说”吧?很知名而已。
zjzf_1 回复于:2005-11-07 01:09:43
很久以前的帖子了 有新的你们不看
zjzf_1 回复于:2005-11-07 01:10:58
CC攻击防御措施
jackylau 回复于:2005-11-07 14:21:19
是不是可执行程序叫做cc呀?
西门飞 回复于:2005-11-07 16:36:00
偶从几个朋友手里搞了个 CC攻击器的1.0正式版.
还没机会测试呢.
听说马上要出3.0 了.
版本放出来后看能不能搞一个.
还木用过呢.
hardiwang 回复于:2005-11-07 19:08:09
去年我一个哥们对绿盟做了短暂的测试,他是通过代理猎手来做的,效果果然很厉害,说挂就挂!那个时候是采用想目标服务器发送大量CGI程序来频繁调用数据库。最终导致数据库lock,从而达到效果。
对游戏服务器的攻击肯定是应该采用代理服务器 向游戏服务器所开放的端口发送异常数据包,最终导致服务器负载过大而当机。
qintel 回复于:2006-04-09 21:05:06
这贴子也能加精啊,LZ你写的什么东西啊,你自己能看懂吗。
qintel 回复于:2006-04-09 21:27:44
以下为LZ原文,红色地方足以显示LZ做学问的态度,而且LZ的另外两个精华里也不乏类似的字眼,最要命的的,没有几句话是他自己写的,大家看看有几句是他的并且涉及到技术的?在看看您看了整个文章是不觉得快晕了。TMD。
----------------------------------------------------------------------------------
见不到虚假ip
见不到特别大的流量
但无法进行正常连接
[color=Red]传说一条adsl 足以搞掂一台高性能服务器[/color]
[color=Red]据可靠消息[/color] 重庆电信的很多游戏服务器虽在黑洞之下但饱受CC之苦
本人只是耳闻并没有机会亲历
我在google搜索
CC相关内容很少
XFOCUS给出了一个什么CCsource作者是bigboyq
这里是他的blog http://blog.n-ku.com/blog.asp?name=bigboyq
[color=red]我粗略的看[/color]了下CCsource这个东西
他的基本原理就是 攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service )
这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service )
与典型的分布式拒绝服务攻击不同 攻击者不需要去寻找大量的傀儡机 代理服务器充当了这个角色
bigboyq针对自己的CC提出了解决办法我引述原文:
"对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击,代理在转发数据的时候会向HTTP服务器提交一个x-
forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿
名的,就是说会发送x-forward-ip的代理。"
简单的说bigboyq的这个CC攻击器的实现 可以通过特征过滤的办法 有效的解决
####我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。(接受wstest 的意见把这里改下)
####我提到我对CC的攻击案例也[color=Red]只是耳闻[/color],不过我觉得这种攻击方式也就是利用proxy充当傀儡机是种不错的想法而且不应该只局限于对web的攻击我没有鼓励攻击之意只是就技术论技术
这说明这些案例中攻击者使用的CC并不是bigboyq写的CC,但据我个人估计很可能CC攻击都是用了同样的原理。 借助的可能是SOCKS5 proxy或者SOCK4 proxy。
这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数。造成拒绝服务。
例如很多apache连接数不过是512或者1024这是很容易造成DOS。
本贴意在抛砖引玉 希望行家们提供更准确地信息 揭开CC神秘的面纱
不过一句借助代理服务器attack target host,用得着这么绕圈子吗,而且我对[color=Red]"通过socks proxy维持大量小流量连接占满target host应用层服务的连接数"[/color]持严重怀疑态度,希望有懂的人出来说明一下,以正视听。
[ 本帖最后由 qintel 于 2006-4-9 21:34 编辑 ]
|
