HTTP Flood 俗称cc攻击(Challenge Collapsar)是ddos(分布式拒绝服务)的一种,前身名为Fatboy攻击,也是一种常见的网站攻击方法。是针对 Web 服务在第七层协议发起的攻击。攻击者相较其他三层和四层,并不需要控制大量的肉鸡,取而代之的是通过端口扫描程序在互联网上寻找匿名的 HTTP 代理或者 SOCKS 代理,攻击者通过匿名代理对攻击目标发起HTTP 请求。匿名代理服务器在互联网上广泛存在。因此攻击容易发起而且可以保持长期高强度的持续攻击,同样可以隐藏攻击者来源避免被追查。
HTTP/CC 攻击的特点:
HTTP/CC 攻击的 ip 都是真实的,分散的
HTTP/CC 攻击的数据包都是正常的数据包
HTTP/CC 攻击的请求都是有效请求,且无法拒绝
HTTP/CC 攻击的是网页,服务器可以连接,ping 也没问题,但是网页就是访问不了
如果 IIS 一开,服务器很快就死,容易丢包。
怎么判断自己是在被CC攻击:
1,耗Cpu资源
黑客用1万台肉鸡,刷新你网站动态页面,如果你程序不够健壮,cpu直接100%
2,耗内存资源
黑客只要刷新你动态页面中搜索数据库的内容,只要搜索量一大,内存占满。网站直接打不开或者是非常卡。
3,耗I/o资源
黑客找到上传文件,或者是下载文件的页面,在不停的上传与下载,磁盘资源点满
4,耗带宽资源
下面这个带宽接10G,攻击上来2G,能看流量占用多少,如果流量占满了,服务器直接掉包,掉线。网站一点都打不开。
CC攻击工具:
1. 超强CC攻击器:只要输入攻击目标服务器的IP地址,设置好相关参数即可进行攻击。可设置攻击线程、攻击频率,利用大量代理服务器形成僵尸网络(设置代理服务器ip列表)。CC攻击工具致命攻击V2.0有大量的代理服务器。暗影DDoS压力测试系统V2016。
2. DDoSIM:可用于模拟对目标服务器的ddos攻击,能模拟几个僵尸主机(IP地址具有随机性),这些主机与目标服务器建立完整的TCP连接。连接完成后,DDoSim启动与侦听应用程序如HTTP服务器的会话(?模拟正常用户访问的url???—仅仅是针对80端口发起正常的http请求,url就是/,多线程支持)。
3. Darkddoser:通过僵尸网络发起http攻击。
4. 使用Microsoft Web Application Stress工具模拟HTTP-DDoS 攻击,采用直接访问测试页面的方式发起攻击。三台攻击机,每台攻击机最高并发1000线程(基于频率可检测、实验设置低频。。。自写的工具),迫使服务器执行大量计算和数据库查询,每次攻击时间为5分钟。
5. Web Apple Pid DDoS攻击器:可设置目标服务器的页面(静态/动态)(单一、多个,自写的工具)、攻击频率等。
6. LOIC:是Web应用程序的Dos/DDos攻击,它可用TCP数据包、UDP数据包、HTTP请求对目标网站进行Dos/DDos测试,攻击手段主要是以无限循环方式(无僵尸网络、单一url)发送数据。是一种淹没式工具,能产生大量流量,占满目标网络或应用资源,造成拒绝服务。
7. XOIC:仅支持win7以上的Windows平台,比LOIC增加了Testmode模式,可以测试攻击主机的性能。
8. HOIC:可以配置攻击脚本,实际靠大量的HTTP请求进行DoS。其具有如下特点:高速多线程的HTTP洪水攻击;一次可同时洪水攻击高达256个网站;内置脚本系统,允许自行修改设置脚本,用来阻挠DDoS攻击的防御措施,并增加DOS输出;能够选择攻击的线程数。
9. HULK:针对Web的拒绝服务攻击工具。能够在web服务器上产生许多单一的伪造浏览,伪造常见的参数名称和参数值,绕开引擎的缓存池(单一url、GOMAXPROCS=4 HULKMAXPROCS=4096 hulk -site http://example.com/example.php 2>/tmp/errlog)。
10. WAS(web application stress tool)是微软的一款性能测试工具,可以通过有限的客户端模拟大量的虚拟用户,并发地访问预先确定的页面或网站的URLs。每一个虚拟用户都能精确地仿效真实用户并在真实浏览器和网站服务器之间进行交互(https://www.90.vc/archives/11,压测工具,录制脚本,可以多个url,多线程)。
11. Hping是一个基于命令行,编码和解析的TCP/IP协议的开源工具。也可以用于发动DDOS攻击,常用于发动ICMP、SYN和UDP洪水攻击等(pass,无应用层ddos)。
12. 利用Httperf模拟针对Web服务器的DDoS攻击:通过设置hostname/IP address、url、请求速率、连接总数和服务器的反馈时间来模拟不同强度的分布式拒绝服务攻击。过程中需控制多台僵尸主机(httperf –client=0/1 –server=[YOUR_DOMAIN] –port=443 –uri=/a.php –rate=100 –send-buffer=4096 –recv-buffer=16384 –ssl –num-conns=50 –num-calls=1000,单一url、不排除同时多个url并发)。
13. SlowHTTPTest:可配置的应用层拒绝服务攻击测试攻击。可以模拟低带宽耗费下的DoS攻击,如慢速攻击、通过并发连接池进行的慢速读攻击等(SlowHTTPTest是一款对服务器进行慢攻击的测试软件,所谓的慢攻击就是相对于cc或者DDoS的快而言的,并不是只有量大速度快才能把服务器搞挂,使用慢攻击有时候也能到达同一效果。slowhttptest包含了之前几种慢攻击的攻击方式,包括slowloris, Slow HTTP POST, Slow Read attack等。那么这些慢攻击工具的原理就是想办法让服务器等待,当服务器在保持连接等待时,自然就消耗了资源。Slowhttptest的源码托管在Github:https://github.com/shekyan/slowhttptest, pass)。
14. Slowloris:属于Perl程序,只需在对应的SDK中运行即可。其攻击分为探测、实施两个步骤。探测的主要目的是探测目标服务器连接超时时间。实施攻击时可用单台主机也可选择数台主机并发攻击,选择多台主机产生的攻击效果更大(攻击192.168.0.1路由器网关。slowloris.py -s 999 -ua 192.168.0.1 –s 999 发送999个socket包。-ua 使用随机User Agent。pass)。
15. 通过Music Machines-HTTP真实数据集搭建模拟真实网站,使用BadBoy录制攻击脚本,使用Apache Jmeter模拟傀儡主机进行模拟攻击行为。Apache Jmeter用于测试服务器功能和测量服务器性能。可用于测试静态和动态Web程序的性能。可用于模拟服务器或服务器组、网络对象的重负载请求,从而测试其强度,并分析在不同负载类型下测试对象的整体性能。
防御CC攻击可以通过多种方法,下面讲几种方法。
1)取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,比如网站域名是www.geetest.com,那么攻击者就在DDoS攻击软件中设定攻击对象为该域名然后实施攻击
对于这样的攻击措施是在ⅡS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开“ⅡS管理器”定位到具体站点右键“属性”打开该站点的属性面板,点击IP地址右侧的“高级”按钮,选择该域名项进行编辑,将“主机头值”删除或者改为其它的值(域名)。
实例模拟测试,取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不便,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。
2)更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行ⅡS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。
3)ⅡS屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP,就可以在ⅡS中设置屏蔽该IP对Web站点的访问,从而达到防范ⅡS攻击的目的。在相应站点的“属性”面板中,点击“目录安全性”选项卡,点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”,也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中,就屏蔽了该IP对于Web的访问。
4) 域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。
现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。
5) 使用专用抗CC攻击防火墙
最安全最省心的办法是通过使用第三方专业抗CC攻击的防火墙进行防范,以极验抗ddos、抗CC防火墙为例,只需要登录极验DDoS高防后台(ddos.geetest.com)简单配置转发规则即可开启防护。
CC攻击的种类有三种,直接攻击,代理攻击,僵尸网络攻击,直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。僵尸网络攻击有点类似于 DDOS 攻击了,从 WEB 应用程序层面上已经无法防御,所以代理攻击是CC 攻击者一般会操作一批代理服务器,比方说 100 个代理,然后每个代理同时发出 10 个请求,这样 WEB 服务器同时收到 1000 个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时 WEB 服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就象本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。
DDoS是针对IP的攻击,而CC攻击的是服务器资源。
CC攻击的变种: HTTP Post慢速DoS攻击第一次在技术社区被正式披露是2012年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。
这个攻击的基本原理如下:对任何一个开放了HTTP访问的服务器HTTP服务器,先建立了一个连接,指定一个比较大的content-length,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。
和CC攻击一样,只要Web服务器开放了Web服务,那么它就可以是一个靶子,HTTP协议在接收到request之前是不对请求内容作校验的,所以即使你的Web应用没有可用的form表单,这个攻击一样有效。
在客户端以单线程方式建立较大数量的无用连接,并保持持续发包的代价非常的低廉。实际试验中一台普通PC可以建立的连接在3000个以上。这对一台普通的Web server,将是致命的打击。更不用说结合肉鸡群做分布式DoS了。
慢速攻击的分类:
Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每30秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。
Slow body:攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大,使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,发送了完整的HTTP头部,POST方法带有较大的Content-Length,然后每10s发送一次随机的参数。服务器因为没有接收到相应Content-Length的body,而持续的等待客户端发送数据。
Slow read:客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。抓包数据可见,客户端把数据发给服务器后,服务器发送响应时,收到了客户端的ZeroWindow提示(表示自己没有缓冲区用于接收数据),服务器不得不持续的向客户端发出ZeroWindowProbe包,询问客户端是否可以接收数据。
慢速攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程,它会等待接收完整个HTTP头部才会释放连接。比如Apache会有一个超时时间来等待这种不完全连接(默认是300s),但是一旦接收到客户端发来的数据,这个超时时间会被重置。正是因为这样,攻击者可以很容易保持住一个连接,因为攻击者只需要在即将超时之前发送一个字符,便可以延长超时时间。而客户端只需要很少的资源,便可以打开多个连接,进而占用服务器很多的资源。
经验证,Apache、httpd采用thread-based架构,很容易遭受慢速攻击。而另外一种event-based架构的服务器,比如nginx和lighttpd则不容易遭受慢速攻击。
原文地址:
https://blog.csdn.net/ioriliao/article/details/107492126?utm_source=app&app_version=4.21.0&code=app_1562916241&uLinkId=usr1mkqgl919blen
https://blog.csdn.net/qq_42729180/article/details/81134547?utm_source=app&app_version=4.21.0&code=app_1562916241&uLinkId=usr1mkqgl919blen
原文链接:https://www.cnblogs.com/crackerroot/p/15774729.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21547
