保定网络公司+保定网站建设+保定做网站 保定市网络公司 保定市网站设计 保定市网站建设 保定市网站制作 保定市网站推广
保定制作网站,保定建设网站,保定优化网站的公司 设为首页
保定市网站设计,保定市网站建设,保定市网站优化,保定市网站推广
保定网站设计,保定网站建设,保定网站优化,保定网站推广 给我留言
首页       关于我们   作品展示   项目服务   域名空间   公司新闻   建站学院   SEO优化   网站建设   建站知识   联系我们   
保定建站真心为您服务!承接网站建设 + 网页设计 + FLASH设计 + 网站开发 + 平面设计,专业技术人员一对一服务让建站更加专业更加放心……二十小时服务热线:+86)13730168216。欢迎来电咨询…… 现在时间是
文章展示
网站建设 网站推广 一切竟掌握

如何自动对付CC攻击

发布者:网站建设 保定做网站  发布时间:2009-5-31    点击次数:29713
  CC攻击原理 

  CC主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,现在知道为什么很多空间服务商都说大家不要上传论坛,聊天室等东西了吧. 

  一个静态页面不需要服务器多少资源,甚至可以说直接从内存中读出来发给你就可以了,但是论坛就不一样了,我看一个帖子,系统需要到数据库中判断我是否有读读帖子的权限,如果有,就读出帖子里面的内容,显示出来——这里至少访问了2次数据库,如果数据库的体积有200MB大小,系统很可能就要在这200MB大小的数据空间搜索一遍,这需要多少的CPU资源和时间?如果我是查找一个关键字,那么时间更加可观,因为前面的搜索可以限定在一个很小的范围内,比如用户权限只查用户表,帖子内容只查帖子表,而且查到就可以马上停止查询,而搜索肯定会对所有的数据进行一次判断,消耗的时间是相当的大. 

  CC就是充分利用了这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面). 

  攻击现象:

  服务器的流量瞬间可达到几十M以上,网站打不开。重启iis会发现流量马上就降下来。查看IIS日志会发现很多不同的IP都反复访问一个相同的文件。查看C:WINDOWSsystem32LogFilesHTTPERR 会发现很多出错的IIS日志,如下:

  2007-08-22 06:05:28 61.140.127.206 61905 61.139.129.56 80 HTTP/1.1 GET /list.asp?

  ProdId=0961 503 30 ConnLimit pool21
  2007-08-22 06:05:28 221.8.137.99 3916 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 

  503 30 ConnLimit pool21
  2007-08-22 06:05:28 220.187.143.183 4059 61.139.129.56 80 HTTP/1.1 GET /list.asp?

  ProdId=0961 503 30 ConnLimit pool21
  2007-08-22 06:05:28 218.18.42.231 1791 61.139.129.56 80 HTTP/1.1 GET /list.asp?

  ProdId=0961 503 30 ConnLimit pool21
  2007-08-22 06:05:28 125.109.129.32 3030 61.139.129.56 80 HTTP/1.1 GET /list.asp?

  ProdId=0961 503 30 ConnLimit pool21
  2007-08-22 06:05:28 58.216.2.232 1224 61.139.129.56 80 HTTP/1.1 GET /list.asp?ProdId=0961 

  503 30 ConnLimit pool21
  ...

  可以看出很多不同的IP都在访问list.asp这个文件。以上现象就是CC攻击的特征。根据发动CC攻击所使用的肉机数量,小的攻击可以导致网站很慢或者不稳定,大的攻击可以让网站一直都无法打开。

  因这类攻击,是模拟正常用户不断请求一个网页。所以一般的防火墙很难防御。下面我们根据实际工作经验,讲一下如何不用防火墙来解决这个攻击问题。

  因为CC攻击都是使用的肉机或代理来访问我们的服务器的,它跟synflood攻击不一样。synfoold一直是不断变化的虚假IP,而CC攻击的IP都是真实的IP而基本上不变化的,只要我们用安全策略把这些IP全部封掉就可以了。

  看过有网友介绍的方法,不过是手工一条一条地封,而攻击IP一般都是数千个不同的IP。用手工封IP的办法太麻烦。下面我们用程序来实现自动封这些IP!

  程序主要是读取这个网站的iis日志,分析出其中的IP地址,用安全策略自动封闭。VBS代码如下:

  ’代码开始

  Set fileobj=CreateObject("Scripting.FileSystemObject")
  logfilepath="E:w3logW3SVC237ex070512old.log" ’注意指定受攻击网站的日志路径。
  ’如果是虚拟主机,要查是哪个网站受攻击,可以查看:C:WINDOWSsystem32LogFilesHTTPERR ,

  根据错误日志很容易分析出来。
  writelog "netsh ipsec static add policy name=XBLUE"
  writelog "netsh ipsec static add filterlist name=denyip"

  overip=""
  f_name=logfilepath
  ’指定日志文件

  ’程序功能:把logfiles中的IP提取成ipsec需要的过滤格式,导入ipsec中过滤。适合某个网站受大量CC攻击的情况。

  ’ by 中国站长数据中心 http://www.ixzz.com 中国最大的虚拟主机服务商,12G全能空间350元!
  ’ 2007-5-12 
  ’此程序为本站原创,若要引用,请保留我们的网址。

  set fileobj88=CreateObject("Scripting.FileSystemObject")
  Set MYFILE=fileobj88.OpenTextFile(f_name,1,false)
  contentover=MYFILE.ReadAll()
  contentip=lcase(contentover)
  MYFILE.close
  set fileobj88=nothing
  on error resume next
  myline=split(contentip,chr(13))
  for i=0 to ubound(myline)-1 

  myline2=split(myline(i)," ")
  newip=myline2(6)
  ’指定分离的标识字符串!
  if instr(overip,newip)=0 then ’去除重复的IP。
  overip=overip&newip
  dsafasf=split(newip,".")
  if ubound(dsafasf)=3 then
  writelog "netsh ipsec static add filter filterlist=denyip srcaddr="&newip&" dstaddr=Me 

  dstport=80 protocol=TCP"
  end if
  else
  wscript.echo newip &" is exits!"
  end if
  next
  writelog "netsh ipsec static add filteraction name=denyact action=block"
  writelog "netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip 

  filteraction=denyact"
  writelog "netsh ipsec static set policy name=XBLUE assign=y"


  Sub writelog(errmes) ’导出IPsec的策略文件为一个bat文件。
  ipfilename="denyerrorip.bat"
  Set logfile=fileobj.opentextfile(ipfilename,8,true)
  logfile.writeline errmes
  logfile.close
  Set logfile=nothing
  End Sub

  ’代码结束

  把上述代码存为一个.vbs文件,设置好其中日志的路径。双击运行即可,运行完毕后生成一个denyerrorip.bat文件,这个是ipsec所需要的策略文件,直接双击运行即可。

  运行完毕即可解决CC攻击问题。
 
相关文章展示: 关键词: CC攻击  防火墙  代码  攻击原理  数据  静态页面 
日期星期时分秒不停变动的JS代码 [39345]
ASP利用缓存提高数据显示效率 [39603]
Access完成累计余额的计算 [39431]
优化SQLServer数据库服务器内存的配置 [39861]
Oracle数据库查询十个小技巧 [42871]
了解Access数据库的4种安全方式 [38399]
总结了14个数据库分析与设计的技巧 [39087]
ACCESS的参数化查询 [40162]
向上、下、左、右图片连续循环滚动代码 [30272]
图片播放器 - 图片自动循环变换 [31949]
 
保定建站欢迎您的咨询
详细地址
  资询热线:
  0312-5975933
业务咨询QQ
业务咨询QQ
业务咨询QQ
空间域名QQ
技术支持QQ
MSN客服
推荐文章
查看更多
· 蛇形溯源-通过话题链接,跨平台获取相关话题的关键词与出现频次
· 社群营销第一人:陈艺明【社群推广首选】社群宣传费用
· 信息发布技巧:产品诱人,卖点突出
· 保定网络公司哪家好?保定最好的网络公司
· 高阳经济开发区与我公司司签订网站建设服务
· 保定微营销报名啦!落地操作(微生活学院)别和钱较劲- 陈艺明
· 保定微营销【最好的】微营销活动报名开始了,陈艺明讲述微生活营
· 保定微营销:陈艺明F2F微生活营销课程开始了!保定微营销最好
· 保定做网站最便宜的多少钱?保定哪家做网站最便宜?
· 保定手机网站建设,保定APP手机网站制作
· 祝贺保定职业技术学院武术协会与我司签订网站建设
· 陈老师讲解:保定中小企业网络微营销的困难困难“解决”低小丑的
   最新作品
亿家能商贸(中英文网站制作-美国服务器)-北京网站建设
亿家能商贸(中英文网站制作-美国服务器)
(网站设计)北京君闻香酒业有限公司-北京网站建设
(网站设计)北京君闻香酒业有限公司
河北保定博时广告(网站设计)-北京网站建设
河北保定博时广告(网站设计)
保定IDO婚庆公司(网站优化)-北京网站建设
保定IDO婚庆公司(网站优化)
保定天生桥牌红枣贡酒(网站设计)-北京网站建设
保定天生桥牌红枣贡酒(网站设计)
保定党史研究史(网站制作)-北京网站建设
保定党史研究史(网站制作)
保定达瑞设备有限公司(网站优化)-北京网站建设
保定达瑞设备有限公司(网站优化)
VI设计公司(网站设计制作)-北京网站建设
VI设计公司(网站设计制作)
|   网站建设  |   关于我们  |   建站学院  |   域名空间  |   作品展示  |   招聘岗位  |   服务项目  |   联系我们  |   建站常识  |   建站论坛  |  

客服中心:河北省保定市永华路与西大街交汇处(查看地图路线)秀兰公寓B座4楼右转即到(428号)。
网络公司联系电话:0312-5975933 / 2035252 / 3146161 二十小时联系电话:13730168216   网络公司售后服务电话:15603212829 传真:0312-3146161
工作时间:周一至周六.上午:8:00-12:00 下午:2:00-6:00 周日全天服务电话:13730168216
客服企业邮箱:kefu@jihewang.com   技术企业邮箱:jishu@jihewang.com   经理企业邮箱:admin@jihewang.com
网络公司名称:   工商注册号:130604000010106   邮编:07100
保定网络公司永久网址:http://www.jihewang.com
Copyright © 2003-2012 保定建站 All rights reserved. 冀ICP备05000154号
本公司业务:保定网站建设_保定网站制作_保定网站推广_保定网页网站设计_保定400电话_软件群发_保定网络公司以敬业、负责的态度为您做网站,以客户的成功为成功。

    
客服
客服
技术
域名
空间
售后
咨询
MSN
电邮