分析CC攻击以及防御

实验目的

了解DDoS攻击原理，及一个DDoS攻击的过程

实验内容

了解DDoS攻击原理，及一个DDoS攻击的过程

实验环境描述

1、 学生机与实验室网络直连；

2、 VPC1与实验室网络直连；

3、 学生机与VPC1物理链路连通；

实验步骤

 学生登录实验场景的操作 1.学生单击 “网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标主机。如图所示：

2.学生输入密码p@ssw0rd，登录到实验场景中的目标主机。如图所示:

学生进入winxp可直接进入系统，登录到实验场景中的目标主机

3.先在window server 2003系统里，默认已经建一个网站可以正常访问。

1. 进入XP系统，打开C:＼tools＼cc攻击器文件夹，运行cc攻击器，界面如下图：

5.在目标下的地址处，输入要攻击的网站网址，也可以是ip，不过在真实环境中最好是输入网址。其攻击模式如下图，一般选中动态CC，获取到目标网站类似于图中的动态地址，攻击开始后，就会针对该动态脚本进行攻击，然后会导致该URL不停的查询数据库，造成数据库进程占用CPU很高，这样服务器就会出现长时间卡顿或者死机。　

6.运行cc攻击器程序的称为控制台，己被控的机器是傀儡机（肉鸡）。 点击上线主机，可以查看到当前所控制的傀儡机，因为平台环境有限，所以这里显示不出来被控制的肉鸡，但真实环境中，中了该工具关联的木马后，是会连接到该控制台的。如下图：

7.在全选或者反选那里，一定要选下全选ｏｒ反选，它表示选中全部的肉鸡，在地址栏处输入我想要攻击的网址，单击开始就可以了。如下图：

cc主要是用来攻击页面的.大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观这样，被cc攻击的网站，就可能会有超负载的页面请求！最后会不能正常的回应请求！ cc的攻击的防御

1. 使用ｃｏｏｋｉｅ认证。 这时候朋友说cc里面也允许ｃｏｏｋｉｅ，但是这里的ｃｏｏｋｉｅ是所有连接都使用的，所以启用ip+ｃｏｏｋｉｅ认证就可以了。
2. 利用session。 这个判断比ｃｏｏｋｉｅ更加方便，不光可以ip认证，还可以防刷新模式，在页面里判断刷新，是刷新就不让它访问，没有刷新符号给它刷新符号。给些示范代码吧， session： 1 then session(“refresh”)=session(“refresh”)+1 response.redirect “index.asp” end ｉｆ 这样用户第一次访问会使得refresh=1，第二次访问，正常，第三次，不让他访问了，认为是刷新，可以加上一个时间参数，让多少时间允许访问，这样就限制了耗时间的页面的访问，对正常客户几乎没有什么影响。
3. 代理 通过代理发送的http_x_forwarded_for变量来判断使用代理攻击机器的真实ip，这招完全可以找到发动攻击的人，当然，不是所有的代理服务器都发送，但是有很多代理都发送这个参数。详细代码： 这样会生成cclog.txt，它的记录格式是：真实ip [代理的ip] 时间，看看哪个真实ip出现的次数多，就知道是谁在攻击了。将这个代码做成conn.asp文件，替代那些连接数据库的文件，这样所有的数据库请求就连接到这个文件上，然后马上就能发现攻击的人。
4. redirect 还有一个方法就是把需要对数据查询的语句做在redirect后面，让对方必须先访问一个判断页面，然后redirect过去。
5. 限制ip连接数和cpu使用时间 在存在多站的服务器上，严格限制每一个站允许的ip连接数和cpu使用时间，这是一个很有效的方法。 cc的防御要从代码做起，其实一个好的页面代码都应该注意这些东西，还有sql注入，不光是一个入侵工具，更是一个ddos缺口，大家都应该在代码中注意。举个例子吧，某服务器，开动了5000线的cc攻击，没有一点反应，因为它所有的访问数据库请求都必须一个随机参数在session里面，全是静态页面，没有效果。突然发现它有一个请求会和外面的服务器联系获得，需要较长的时间，而且没有什么认证，开800线攻击，服务器马上满负荷了。