基于日志数据分析以防御CC攻击的想法

1. What - 什么是CC攻击

CC攻击，即针对应用层HTTP协议的DDos攻击，攻击者在短时间内向目标服务器发送大量的HTTP请求，使得服务器会非常繁忙，资源消耗会增加；同时，如果请求中包含基于数据库的查询，也会对数据库的性能造成影响。

 

2. Why - 为什么要防范CC攻击

降低Qos质量，妨碍正常用户的访问，严重时会使服务不可用。

 

3. how - 如何防范

1) 确认HTTP请求会话唯一性

客户端IP+session，服务端可以做判断，相同时刻下的请求，如果客户端IP出现的次数不是唯一的，这种请求必然不是正常用户，服务端可以调用相关防御机制处理这类请求；在IP唯一的情况下，检测session中的访问动作，如果多次刷新，则是可疑行为，此时应该启用防御机制。

这种防范属于应用层程序的自身的主动防御，也是最可靠的，代价主要在程序架构和开发。

 

2) 基于访问日志数据分析的防御

根据连续访问日志的数据分析，根据IP访问量的变化情况，获得可疑IP，将这类IP放入拒绝访问列表中，以实现防御目的。

这种防范属于网络层面的被动防御，防御机制生效落后于攻击，且很容易误杀同一个出口IP的正常用户，这也是我们当前在做的，思路和模块简述如下：

(1) 获取策略阈值

根据已有的正常访问日志，统计连续几天内如下数据内容，以一天为例：

时间片单位：15min

单位时间内：总的访问量（total_access_p15），总的访问IP数（ips_p15）

时间片内每个IP的平均访问量：ips_per_count=total_access_p15/ips_p15

从00:00:00开始，一天可以获取24*60/15=96个ips_per_count

连续计算正常访问情况下5天的96个ips_per_count，然后对相同起始时刻的单位时间做均值，最后获得96个avg_ips_per_count作为对应的策略阈值

(2) 可疑IP判定

已知时间片内的每个avg_ips_per_count，将其作为过滤条件，去过滤查询出时间片内访问次数大于avg_ips_per_count的单个IP（ip），每个IP在每5min内的访问量（ip_count_p3），对相邻的ip_count_p求商，如果商大于1，则视为可疑行为的IP，将其加入黑名单。

(3) 黑名单更新

在日志中查询黑名单IP出现的非200状态码如403的次数(bl_ip_deny_count)，如果bl_ip_deny_count小于上次(ip_count_p1+ip_count_p2+ip_count_p3)/3，则将其移出黑名单。

 

进行上述简要分析处理，可以较为真实的反映IP的请求行为，做到较为可靠的防御效果，并降低误杀的可能。