? ? ? CC攻擊是什么？那怎么做防護(hù)才能避免WEB服務(wù)器被CC攻擊呢？今天墨者安全給大家分享下對(duì)CC攻擊的見(jiàn)解吧！

? ? ? CC攻擊是DdoS攻擊(分布式拒絕服務(wù))的一種，相比其它的DDoS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見(jiàn)不到虛假IP，見(jiàn)不到特別大的異常流量，但造成服務(wù)器無(wú)法進(jìn)行正常連接，一條ADSL的普通用戶足以掛掉一臺(tái)高性能的Web服務(wù)器。因此稱其為“Web殺手”毫不為過(guò)。最讓站長(zhǎng)們憂慮的是這種攻擊技術(shù)含量不是很高，利用工具和一些IP代理，一個(gè)初、中級(jí)的電腦水平的用戶就能夠?qū)嵤〥DoS 攻擊。簡(jiǎn)單點(diǎn)講服務(wù)器像是一個(gè)超市，而CC就像是一大批正常進(jìn)店的顧客，他們各種看物品，不斷地詢問(wèn)店員各種關(guān)于物品的問(wèn)題，就是不付款。導(dǎo)致真正有需求的客戶和店員交涉不上，也沒(méi)法進(jìn)入付款流程。

?CC攻擊是DdoS攻擊(分布式拒絕服務(wù))的一種

　CC攻擊有一定的隱蔽性，怎么確定服務(wù)器正在遭受CC攻擊呢?可以通過(guò)下面三個(gè)方法來(lái)確定：?

　　(1)一般遭受CC攻擊時(shí)，Web服務(wù)器會(huì)出現(xiàn)80端口對(duì)外關(guān)閉的現(xiàn)象， 因?yàn)檫@個(gè)端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了，正常的連接也就被中止了。我們可以通過(guò)在命令行下輸入命令netstat -an來(lái)查看，如果看到類似如下有大量顯示雷同的連接記錄基本就可以確定被CC攻擊了。?這就是命令行確認(rèn)法　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4?……其中“192.168.1.6”被用來(lái)代理攻擊主機(jī)的IP，“SYN_RECEIVED”是TCP連接狀態(tài)標(biāo)志，意思是“正在處于連接的初始同步狀態(tài) ”，表明無(wú)法建立握手應(yīng)答處于等待狀態(tài)。這樣的記錄一般都會(huì)有很多條，表示來(lái)自不同的代理IP的攻擊。?這就是攻擊的特征。

? ? ? ? (2)上述方法需要手工輸入命令且如果Web服務(wù)器IP連接太多看起來(lái)比較費(fèi)勁，我們可以建立一個(gè)批處理文件，通過(guò)該腳本代碼確定是否存在CC攻擊。打開(kāi)記事本輸入如下代碼保存為CC.bat：

@echo off?　time /t >>log.log?　???? netstat -n -p tcp|find ":80">>Log.log?　?? 　notepad log.log?　　?? exit?

? ? ? ?上面腳本的含義是篩選出當(dāng)前所有的到80端口的連接。當(dāng)我們感覺(jué)服務(wù)器異常是就可以雙擊運(yùn)行該批處理文件，然后在打開(kāi)的log.log文件中查看所有的連接。如果同一個(gè)IP有比較多的到服務(wù)器的連接，那就基本可以確定該IP正在對(duì)服務(wù)器進(jìn)行CC攻擊。

? ? ? ?(3)上面的兩種方法有個(gè)弊端，只可以查看當(dāng)前的CC攻擊，對(duì)于確定Web服務(wù)器之前是否遭受CC攻擊就無(wú)能為力了，此時(shí)我們可以通過(guò)Web日志來(lái)查，因?yàn)閃eb日志忠實(shí)地記錄了所有IP訪問(wèn)Web資源的情況。通過(guò)查看日志我們可以確認(rèn)Web服務(wù)器之前是否遭受到CC攻擊，并確定攻擊者的IP然后采取進(jìn)一步的措施。

　 ? Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下，該目錄下用類似httperr1.log的日志文件，這個(gè)文件就是記錄Web訪問(wèn)錯(cuò)誤的記錄。管理員可以依據(jù)日志時(shí)間屬性選擇相應(yīng)的日志打開(kāi)進(jìn)行分析是否Web被CC攻擊了。默認(rèn)情況下，Web日志記錄的項(xiàng)并不是很多，我們可以通過(guò)IIS進(jìn)行設(shè)置，讓W(xué)eb日志記錄更多的項(xiàng)以便進(jìn)行安全分析。

確認(rèn)Web服務(wù)器之前是否遭受到CC攻擊

?確定Web服務(wù)器正在遭受CC攻擊，那如何進(jìn)行有效的防范呢??

? ? ? ?(1)一般cc攻擊都是針對(duì)網(wǎng)站的域名進(jìn)行攻擊，比如我們的網(wǎng)站域名是“www.abc.com”，那么攻擊者就在攻擊工具中設(shè)定攻擊對(duì)象為該域名然后實(shí)施攻擊。?對(duì)于這樣的攻擊我們要在IIS上取消此域名的綁定，讓CC攻擊失去目標(biāo)。取消域名綁定后Web服務(wù)器的CPU馬上恢復(fù)正常狀態(tài)，通過(guò)IP進(jìn)行訪問(wèn)會(huì)顯示連接一切正常。但是缺點(diǎn)是：取消或者更改域名對(duì)于別人的訪問(wèn)帶來(lái)不變，對(duì)于針對(duì)IP的CC攻擊是無(wú)效的，就算更換域名攻擊者發(fā)現(xiàn)之后，他也會(huì)對(duì)新域名實(shí)施攻擊。?

? ? ? ?(2)如果發(fā)現(xiàn)針對(duì)域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個(gè)地址上。我們知道127.0.0.1是本地回環(huán)IP是用來(lái)進(jìn)行網(wǎng)絡(luò)測(cè)試的，同時(shí)實(shí)現(xiàn)攻擊者自己攻擊自己的目的，即使攻擊者有很多的肉雞或者代理也會(huì)宕機(jī)。?當(dāng)我們的Web服務(wù)器遭受到CC攻擊時(shí)，把被攻擊的域名解析到國(guó)家權(quán)威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站，讓其網(wǎng)警來(lái)管。如今Web站點(diǎn)都是利用類似“新網(wǎng)”這樣的服務(wù)商提供的動(dòng)態(tài)域名解析，可以登錄進(jìn)去之后進(jìn)行設(shè)置。?

? ? ? ?(3).Web服務(wù)器通過(guò)80端口對(duì)外提供服務(wù)，因此攻擊者實(shí)施攻擊就以默認(rèn)的80端口進(jìn)行攻擊，所以，我們可以修改Web端口達(dá)到防CC攻擊的目的。運(yùn)行IIS管理器，定位到相應(yīng)站點(diǎn)，打開(kāi)站點(diǎn)“屬性”面板，在“網(wǎng)站標(biāo)識(shí)”下有個(gè)TCP端口默認(rèn)為80，我們修改為其他的端口就可以了。?

? ? ? ?(4).我們通過(guò)命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP，可以在IIS中設(shè)置屏蔽該IP對(duì)Web站點(diǎn)的訪問(wèn)，我們可以設(shè)置授權(quán)訪問(wèn)加入白名單，也可以設(shè)置拒絕訪問(wèn)加入黑名單從而達(dá)到防范IIS攻擊的目的?；蛘呓M策略封閉IP段。

cc攻擊都是針對(duì)網(wǎng)站的域名進(jìn)行攻擊

? ? ? ?CC攻擊其實(shí)就是DDOS攻擊的一種，防護(hù)原理都是差不多的，都是會(huì)造成業(yè)務(wù)的崩潰給企業(yè)造成巨大損失的，所以在DDOS攻擊防御上不可忽視。尤其是一些棋牌游戲，網(wǎng)站，APP，金融和交易所，這屬于DDOS攻擊的重災(zāi)區(qū)