我的站被黑了,是 CC 攻擊?木馬?還是?
前不久一位朋友很焦急的問我,「親,我站點好像被黑了,不知是被 CC 了還是中了木馬,會員們都抱怨半天打不開,真是急死我了。」 這種問題可能很多做站的朋友都遇到過,其實瞭解了 CC 攻擊的原理就很容易分辨出來。
攻擊者控制某些主機不停地發大量資料包給對方器造成器資源耗盡,一直到宕機崩潰。攻擊者利用 CC 的這個特點模擬 N
個使用者併發連線,而這些連線都是真實、分散的,CC
攻擊的請求全都是有效的請求,無法拒絕的請求,不易被察覺,那麼後果就是站點的頁面訪問速度集聚下降,使用者訪問的時候變的非常非常慢。
所以當我們的站點變的比以往慢很多倍的時候就有可能是被 CC 攻擊了。
站點慢了,實際上是併發連線太多,也就是堵了,空間一直處於飽和狀態,那麼我們必須逐步的延緩還在排隊的併發連線進入。
用最經濟的方式抵禦 CC 攻擊
瞭解 CC 攻擊的原理以後,我們就想提前防禦類似的攻擊,以免給站點帶來安全隱患,可以安裝防 CC 攻擊軟體,但這些都不是免費的。而
Discuz! 不用在伺服器上安裝防 CC 軟體,為了有效的預防被 CC 攻擊,內建了 $_config['security']
['attackevasive']
CC 攻擊防禦,可以設定站點的防禦級別,引數有 1|2|4|8,可以互相組合,來防止大量的非正常請求和正常請求造成的拒絕服務攻擊。
看到這裡很多朋友肯定有點暈,1|2|4|8 是做什麼的,這些數字代表什麼意思,我要怎麼設定比較合理?請大家仔細往下看:
1 代表 cookie 重新整理限制
當同一個 cookie 請求大於或等於 1 秒時重新整理,將被限制訪問。
2 代表限制代理訪問
大家應該都理解什麼是代理訪問吧?這裡就不詳細解釋了,相信很多站長朋友對代理訪問比較熟悉。
利用代理訪問是比較常用的一種攻擊手段,因為代理可以有效地隱藏自己的身份,也可以繞開所有的防火牆,因為基本上所有的防火牆都會檢測併發的 TCP/IP 連線數目,超過一定數目一定頻率就會被認為是 Connection-Flood 。
使用代理攻擊還能很好的保持連線,我們這裡傳送了資料,代理幫我們轉發給對方伺服器,我們就可以馬上斷開,代理還會繼續保持著和對方連線 (有人利用 2000 個代理就能產生 35 萬併發連線) 。
所以限制代理訪問可以有效防禦 CC 攻擊。
4 代表二次請求
開啟了二次請求機制,先顯示等待 2 秒重新載入然後才會跳轉出真實的帖子,如下圖所示:
8 代表回答問題
當第一次訪問時需要回答問題,如下圖所示:
)
答案正確後才可以看到頁面的具體內容。
瞭解了這些數字引數的涵義,我們設定起來就容易的多了,比如我設定成 1|2|4 就代表限制 cookie 重新整理+限制代理訪問+開啟二次請求。
站點該怎麼設定呢?
透過上面的概念性瞭解,實際的操作開始了,必須要在站點的配置檔案中設定正確合理後,才可有效防禦 CC 攻擊。
找到站點程式的 config 資料夾,開啟 config_global.php 檔案,找到
- $_config['security']['attackevasive'] = '0';
進行修改即可,0 為關閉防禦,開啟防禦可以把 0 修改為組合的形式,組合為: 1|2, 1|4, 2|8, 1|2|4... 等
建議大家使用下面的設定方案:
- $_config['security']['attackevasive'] = 1|2|4;
此方案可以透過延緩訪問的方式,減輕訪問量較大的站點的伺服器壓力。
希望本文對各位站長朋友有所幫助,有不明白的地方大家可以回帖詳細說明。