网站被CC攻击的解决方法
网站被CC攻击的解决方法
网站被CC攻击的解决方法
作者：冰盾防火墙　网站：　日期：
　作为站长或者公司的网站的网管，什么最可怕？显然是网站受到的DDoS攻击。大家都有这样的经历，就是在访问某一公司网站或者论坛时，如果这个网站或者论坛流量比较大，访问的人比较多，打开页面的速度会比较慢，对不?!一般来说，访问的人越多，网站或论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观。
　　CC攻击是DDoS(分布式拒绝服务)的一种，相比其它的DDoS攻击CC似乎更有技术含量一些。这种攻击你见不到虚假IP，见不到特别大的异常流量，但造成服务器无法进行正常连接，一条ADSL的普通用户足以挂掉一台高性能的Web服务器。由此可见其危害性，称其为&Web杀手&毫不为过。最让站长们忧虑的是这种攻击技术含量不是很高，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施DDoS攻击。
　　那么怎样保证这些网站服务器的安全呢？防护CC攻击大家有必要了解CC攻击的原理及如果发现CC攻击和对CC攻击的防范措施。
一、CC攻击的原理：
　　CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。
二、CC攻击的种类：
　　CC攻击的种类有三种，直接攻击，代理攻击，僵尸网络攻击。
　　直接攻击主要针对有重要缺陷的WEB应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。
　　僵尸网络攻击有点类似于DDOS攻击了，从WEB应用程序层面上已经无法防御。
　　代理攻击：CC攻击者一般会操作一批代理服务器，比方说100个代理，然后每个代理同时发出10个请求，这样WEB服务器同时收到1000个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时WEB服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，就象本来你去食堂吃饭时，一般只有不到十个人在排队，今天前面却插了一千个人，那么轮到你的机会就很小很小了，这时就出现页面打开极其缓慢或者白屏。
三、攻击症状
　　CC攻击有一定的隐蔽性，那如何确定服务器正在遭受或者曾经遭受CC攻击呢?我们可以通过以下三个方法来确定。
(1).命令行法
　　一般遭受CC攻击时，Web服务器会出现80端口对外关闭的现象，因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。我们可以通过在命令行下输入命令netstat-an来查看，如果看到类似如下有大量显示雷同的连接记录基本就可以被CC攻击了：
　　TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
　　其中&192.168.1.6&就是被用来代理攻击的主机的IP，&SYN_RECEIVED&是TCP连接状态标志，意思是&正在处于连接的初始同步状态&，表明无法建立握手应答处于等待状态。这就是攻击的特征，一般情况下这样的记录一般都会有很多条，表示来自不同的代理IP的攻击。
(2).批处理法
　　上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立一个批处理文件，通过该脚本代码确定是否存在CC攻击。打开记事本键入如下代码保存为CC.bat：
　　time /t &&log.log
　　netstat -n -p tcp |find &:80&&&Log.log
　　notepad log.log
　　上面的脚本的含义是筛选出当前所有的到80端口的连接。当我们感觉服务器异常是就可以双击运行该批处理文件，然后在打开的log.log文件中查看所有的连接。如果同一个IP有比较多的到服务器的连接，那就基本可以确定该IP正在对服务器进行CC攻击。
(3).查看系统日志
　　上面的两种方法有个弊端，只可以查看当前的CC攻击，对于确定Web服务器之前是否遭受CC攻击就无能为力了，此时我们可以通过Web日志来查，因为Web日志忠实地记录了所有IP访问Web资源的情况。通过查看日志我们可以Web服务器之前是否遭受CC攻击，并确定攻击者的IP然后采取进一步的措施。
　　Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。默认情况下，Web日志记录的项并不是很多，我们可以通过IIS进行设置，让Web日志记录更多的项以便进行安全分析。其操作步骤是：
　　&开始&管理工具&打开&Internet信息服务器&，展开左侧的项定位到到相应的Web站点，然后右键点击选择&属性&打开站点属性窗口，在&网站&选项卡下点击&属性&按钮，在&日志记录属性&窗口的&高级&选项卡下可以勾选相应的&扩展属性&，以便让Web日志进行记录。比如其中的&发送的字节数&、&接收的字节数&、&所用时间&这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在&常规&选项卡下对&新日志计划&进行设置，让其&每小时&或者&每一天&进行记录。为了便于日后进行分析时好确定时间可以勾选&文件命名和创建使用当地时间&。
四、CC攻击防御策略
　　确定Web服务器正在或者曾经遭受CC攻击，那如何进行有效的防范呢?
(1).取消域名绑定
　　一般cc攻击都是针对网站的域名进行攻击，比如我们的网站域名是&www.&，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。
　　对于这样的攻击我们的措施是在IIS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开&IIS管理器&定位到具体站点右键&属性&打开该站点的属性面板，点击IP地址右侧的&高级&按钮，选择该域名项进行编辑，将&主机头值&删除或者改为其它的值(域名)。
　　经过模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不变，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。
(2).域名欺骗解析
　　如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。
　　另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。
　　现在一般的Web站点都是利用类似&新网&这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。
(3).更改Web端口
　　一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点&属性&面板，在&网站标识&下有个TCP端口默认为80，我们修改为其他的端口就可以了。
(4).IIS屏蔽IP
　　我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的&属性&面板中，点击&目录安全性&选项卡，点击&IP地址和域名现在&下的&编辑&按钮打开设置对话框。在此窗口中我们可以设置&授权访问&也就是&白名单&，也可以设置&拒绝访问&即&黑名单&。比如我们可以将攻击者的IP添加到&拒绝访问&列表中，就屏蔽了该IP对于Web的访问。
五、CC攻击的防范手段
　　防止CC攻击，不一定非要用高防服务器。比如，用防CC攻击软件就可以有效的防止CC攻击。推荐一些CC的防范手段：
1、优化代码
　　尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销。减少复杂框架的调用，减少不必要的数据请求和处理逻辑。程序执行中，及时释放资源，比如及时关闭mysql连接，及时关闭memcache连接等，减少空连接消耗。
2、限制手段
　　对一些负载较高的程序增加前置条件判断，可行的判断方法如下：
　　必须具有网站签发的session信息才可以使用（可简单阻止程序发起的集中请求）；必须具有正确的referer（可有效防止嵌入式代码的攻击）；禁止一些客户端类型的请求（比如一些典型的不良蜘蛛特征）；同一session多少秒内只能执行一次。
3、完善日志
　　尽可能完整保留访问日志。日志分析程序，能够尽快判断出异常访问，比如单一ip密集访问；比如特定url同比请求激增。
六、针对CC攻击的商业解决方案
　　很多的网站管理者是等到网站遭到攻击了，受到损失了，才去寻求解决的方案，在将来的互联网飞速发展的时代，一定要有安全隐患意识，不要等到损失大了，再去想办法来补救，这样为时已晚。然而当网站受到攻击时，大多数人想到的是-----快点找硬防，基本上都步了一个误区，就是认为网站或者服务器被攻击，购买硬件防火墙，什么事都万事大吉了，实际上这样的想法是极端错误的。多年的统计数据表明，想彻底解CC攻击是几乎不可能的，就好比治疗感冒一样，我们可以治疗，也可以预防，但却无法根治，但我们若采取积极有效的防御方法，则可在很大程度上降低或减缓生病的机率，防治DDOS攻击也是如此。
　　实际上比较理想解决方案应该是&软件+硬件&的解决方案。此方案对于资金较为充足的企业网站来说，这个方案适合他们；硬件在DDOS防护上有优势，软件CC防护上有优势；相对于一些对于ICP内容网站、论坛社区BBS、电子商务eBusiness、音乐网站Music、电影网站File等网站服务器越来越普及，但由于种种原因往往会遭受竞争对手或打击报复者的恶意DDOS攻击，持续的攻击会导致大量用户流失，严重的甚至因人气全失而被迫关闭服务器，为了最大程度的保护运营者的利益，冰盾科技结合多年抗DDOS的实践经验给出了最少的安全投资可获得最大安全回报的抗DDOS解决方案。
最新内容：
相关内容：
合作伙伴：服务器上必须保留空主机头，如何放置恶意域名指向呢？_百度知道
服务器上必须保留空主机头，如何放置恶意域名指向呢？
1.发现将主机头设为空后，任何域名都可以解析到我的服务器上，并可以访问，这样很危险，至少在中国很危险。2.主机上有多个站点，但“主机头设为空”只能一个站点。解决办法：1)你可以在httpModules中分析客户端的HTTP请求，做相应的处理继承System.Web.IHttpModule接口，然后去实现接口定义的方法。2)你可以为站点指定不同的IP或不同的端口号。或者使用类似问题1的解决方法去解决，写一程序，托管所有指向服务器的域名。
其他类似问题
为您推荐：
提问者采纳
只有在空主机头对应的网站首页中 添加判断程序来进行判断重定向恶意域名，或者使用REWRITE 缉碃光度叱道癸权含护写规则来处理恶意域名，其他可能没有办法！如果对你有帮助，请采纳，谢谢
这个办法是缓兵之计，管局发现是跳转的，还是会封IP的。有其他更彻底的解决办法吗？
你没有办法阻止别人把域名解析到你的IP上，另外，如果机房有防火墙 或者白名单设备的话，可以考虑让他们在防火墙或者白名单设备上加以阻止！其他别无他法了！
还有人有招没？
提问者评价
其他3条回答
在iis里面设一个白名单，这个白名单列入允许的所有域名和二缉碃光度叱道癸权含护级域名，允许访问的IP，其它的一概不允许访问，
如果有人恶意解析到你的Ip，只要访问不到内容，你们在回复管局时注明为恶意解析即可，但如果恶意解析域名很多还是建议你换IP
这样设置会拖慢打开速度，不是很好。
在网站默认首页写一段代码，只允许授权了的域名。
域名恶意指向是指一些用户出于种种目的将自己的域名通过域名服务商的服务，解析到他人的服务器上，而被解析的服务器上实际没有相应的站点，这种情况称为恶意指向。
域名被恶意指向所解决办法：
主要是绑定所有站点，禁用空主机头或默认站点，只能基于域名的访问方式，不使用基于IP，下面介绍IIS与APACHE的设置方法。
1、IIS的设置方法
IIS默认中，将任何站点都绑定到固定的域名，不可以留空主机头，这样没有绑定主机头的域名恶意指到此IP，默认会提示400错误。
2、Apache 的设置方法
Apache可以通过禁用第一个虚拟站点。
打开apache的配置文件，通常是httpd.conf文件，使用基于域名的访问方式。必须有下面的指令，Apache的第一个虚拟站点即为默认站点，必须对此站点进行限制。
域名恶意指向的...
域名指向的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁分类排行榜
作者：何杨
作者：苗元威
作者：木木博客
作者：朱海涛
站长们都信赖的交易中介平台，安全、高效、便捷。
中小企业网络营销第一平台，解决流量、转化率、品牌。
高收益、移动广告、弹窗CPM、点击CPC、包月广告。
提供公众号出售、求购、代售等交易中介以及增值服务。
增值电信业务经营许可证：苏B2-
编辑热线：5
A5创业网 版权所有.
扫一扫关注最新创业资讯攻防/运维（2）
转载地址：
本人从事网络安全行业20年。有15年防ddos攻击防护经验。被骗了很多回（都说能防300G，500G，买完就防不住了），本文当然重点给大家说明，ddos攻击是什么，中小企业如何防护，用到成本等。
2004年记得是，晚上我带着螺丝刀，晚上2点去机房维护，有ddos攻击，被警察当贼了，汗，那时华夏黑客同盟天天有攻击，远程连接不上得去机房，机房也不知道ddos是什么只知道流量大，一句话，你中病毒了。电信通机房惠普大厦机房。
首先我们说说ddos攻击方式，记住一句话，这是一个世界级的难题并没有解决办法只能缓解
　　DDoS（Distributed Denial of Service，分布式拒绝服务）攻击的主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。这是一个世界级的难题并没有解决办法只能缓解.
　　按照发起的方式，DDoS可以简单分为三类。
　　第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP Flood和UDP Flood，现在已不常见。
　　第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起，例如Slowloris攻击、Hash冲突攻击等，需要特定环境机缘巧合下才能出现。
　　第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量，例如SYN Flood攻击、DNS Query Flood攻击，是当前的主流攻击方式。
本文将一一描述这些最常见、最具代表性攻击方式，并介绍它们的防御方案。
　　SYN Flood是互联网上最经典的DDoS攻击方式之一，最早出现于1999年左右，雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷，能够以较小代价使目标服务器无法响应，且难以追查。
标准的TCP三次握手过程如下：
1、客户端发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；
2、服务器在收到客户端的SYN报文后，将返回一个SYN+ACK（即确认Acknowledgement）的报文，表示客户端的请求被接受，同时TCP初始序号自动加1；
3、客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加1。
　　经过这三步，TCP连接就建立完成。TCP协议为了实现可靠传输，在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的最终ACK确认报文，会一直处于SYN_RECV状态，将客户端IP加入等待列表，并重发第二步的SYN+ACK报文。重发一般进行3-5次，大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面，服务器在自己发出了SYN+ACK报文后，会预分配资源为即将建立的TCP连接储存信息做准备，这个资源在等待重试期间一直保留。更为重要的是，服务器资源有限，可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文，也就是拒绝新的TCP连接建立。
　　SYN Flood正是利用了上文中TCP协议的设定，达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文，由于伪造的IP地址几乎不可能存在，也就几乎没有设备会给服务器返回任何应答了。因此，服务器将会维持一个庞大的等待列表，不停地重试发送SYN+ACK报文，同时占用着大量的资源无法释放。更为关键的是，被攻击服务器的SYN_RECV队列被恶意的数据包占满，不再接受新的SYN请求，合法用户无法完成三次握手建立起TCP连接。也就是说，这个服务器被SYN
Flood拒绝服务了。
对SYN Flood ddos攻击软件,有兴趣的可以看看
http://www.77169.org/hack/870.shtm&&我写的。
DNS Query Flood
　　作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。
UDP攻击是最容易发起海量流量的攻击手段，而且源IP随机伪造难以追查。但过滤比较容易，因为大多数IP并不提供UDP服务，直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了，取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说，越上层协议上发动的DDoS攻击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越复杂。
　　DNS Query Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多地消耗DNS服务器的CPU资源。
关于DNS Query Flood的代码，我在2011年7月为了测试服务器性能曾经写过一份代码，链接是http://www.icylife.net/yunshu/show.php?id=832。同样的，这份代码人为降低了攻击性，只做测试用途。
HTTP Flood
　　上文描述的SYN Flood、DNS Query Flood在现阶段已经能做到有效防御了，真正令各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP Flood是针对Web服务在第七层协议发起的攻击。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。
SYN Flood和DNS Query Flood都需要攻击者以root权限控制大批量的傀儡机。收集大量root权限的傀儡机很花费时间和精力，而且在攻击过程中傀儡机会由于流量异常被管理员发现，攻击者的资源快速损耗而补充缓慢，导致攻击强度明显降低而且不可长期持续。HTTP Flood攻击则不同，攻击者并不需要控制大批的傀儡机，取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源，花几天时间获取代理并不是难事，因此攻击容易发起而且可以长期高强度的持续。
　　另一方面，HTTP Flood攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关，安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作得很好的规则，换一个场景可能带来大量的误杀。
　　最后，HTTP Flood攻击会引起严重的连锁反应，不仅仅是直接导致被攻击的Web前端响应缓慢，还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务，增大它们的压力，甚至对日志存储服务器都带来影响。
　　有意思的是，HTTP Flood还有个颇有历史渊源的昵称叫做CC攻击。CC是Challenge Collapsar的缩写，而Collapsar是国内一家著名安全公司的DDoS防御设备。从目前的情况来看，不仅仅是Collapsar，所有的硬件防御设备都还在被挑战着，风险并未解除。
慢速连接攻击
　　提起攻击，第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之，以慢著称，以至于有些攻击目标被打死了都不知道是怎么死的，这就是慢速连接攻击，最具代表性的是rsnake发明的Slowloris。　　
　　HTTP协议规定，HTTP Request以\r\n\r\n结尾表示客户端发送结束，服务端开始处理。那么，如果永远不发送\r\n\r\n会如何？Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive，要求Web Server保持TCP连接不要断开，随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端，如a:b\r\n，导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。
很快的，Slowloris开始出现各种变种。比如POST方法向Web Server提交数据、填充一大大Content-Length但缓慢的一个字节一个字节的POST真正数据内容等等。关于Slowloris攻击，rsnake也给出了一个测试代码，参见http://ha.ckers.org/slowloris/slowloris.pl。
DDoS攻击进阶
　　以上介绍了几种基础的攻击手段，其中任意一种都可以用来攻击网络，甚至击垮阿里、百度、腾讯这种巨型网站。但这些并不是全部，不同层次的攻击者能够发起完全不同的DDoS攻击，运用之妙，存乎一心。
高级攻击者从来不会使用单一的手段进行攻击，而是根据目标环境灵活组合。普通的SYN Flood容易被流量清洗设备通过反向探测、SYN Cookie等技术手段过滤掉，但如果在SYN Flood中混入SYN+ACK数据包，使每一个伪造的SYN数据包都有一个与之对应的伪造的客户端确认报文，这里的对应是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一个主机同一个TCP Flow的特征，流量清洗设备的反向探测和SYN
Cookie性能压力将会显著增大。其实SYN数据报文配合其他各种标志位，都有特殊的攻击效果，这里不一一介绍。对DNS Query Flood而言，也有独特的技巧。
　　首先，DNS可以分为普通DNS和授权域DNS，攻击普通DNS，IP地址需要随机伪造，并且指明服务器要求做递归解析；但攻击授权域DNS，伪造的源IP地址则不应该是纯随机的，而应该是事先收集的全球各地ISP的DNS地址，这样才能达到最大攻击效果，使流量清洗设备处于添加IP黑名单还是不添加IP黑名单的尴尬处境。添加会导致大量误杀，不添加黑名单则每个报文都需要反向探测从而加大性能压力。
另一方面，前面提到，为了加大清洗设备的压力不命中缓存而需要随机化请求的域名，但需要注意的是，待解析域名必须在伪造中带有一定的规律性，比如说只伪造域名的某一部分而固化一部分，用来突破清洗设备设置的白名单。道理很简单，腾讯的服务器可以只解析腾讯的域名，完全随机的域名可能会直接被丢弃，需要固化。但如果完全固定，也很容易直接被丢弃，因此又需要伪造一部分。
　　其次，对DNS的攻击不应该只着重于UDP端口，根据DNS协议，TCP端口也是标准服务。在攻击时，可以UDP和TCP攻击同时进行。
HTTP Flood的着重点，在于突破前端的cache，通过HTTP头中的字段设置直接到达Web Server本身。另外，HTTP Flood对目标的选取也非常关键，一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标，这是非常正确的，可以消耗服务器尽可能多的资源。但这种攻击容易被清洗设备通过人机识别的方式识别出来，那么如何解决这个问题？很简单，尽量选择正常用户也通过APP访问的页面，一般来说就是各种Web
API。正常用户和恶意流量都是来源于APP，人机差别很小，基本融为一体难以区分。
　　之类的慢速攻击，是通过巧妙的手段占住连接不释放达到攻击的目的，但这也是双刃剑，每一个TCP连接既存在于服务端也存在于自身，自身也需要消耗资源维持TCP状态，因此连接不能保持太多。如果可以解决这一点，攻击性会得到极大增强，也就是说Slowloris可以通过stateless的方式发动攻击，在客户端通过嗅探捕获TCP的序列号和确认维护TCP连接，系统内核无需关注TCP的各种状态变迁，一台笔记本即可产生多达65535个TCP连接。
　　前面描述的，都是技术层面的攻击增强。在人的方面，还可以有一些别的手段。如果SYN Flood发出大量数据包正面强攻，再辅之以Slowloris慢速连接，多少人能够发现其中的秘密？即使服务器宕机了也许还只发现了SYN攻击想去加强TCP层清洗而忽视了应用层的行为。种种攻击都可以互相配合，达到最大的效果。攻击时间的选择，也是一大关键，比如说选择维护人员吃午饭时、维护人员下班堵在路上或者在地铁里无线上网卡都没有信号时、目标企业在举行大规模活动流量飙升时等。
这里描述的只是纯粹的攻击行为，因此不提供代码，也不做深入介绍。
来自P2P网络的攻击
　　前面的攻击方式，多多少少都需要一些傀儡机，即使是HTTP Flood也需要搜索大量的匿名代理。如果有一种攻击，只需要发出一些指令，就有机器自动上来执行，才是完美的方案。这种攻击已经出现了，那就是来自P2P网络的攻击。
大家都知道，互联网上的P2P用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据，使成千上万的真实IP地址连接过来，没有哪个设备能够支撑住。拿BT下载来说，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但这只是基础攻击。
高级P2P攻击，是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器，然后推送给其他需要下载相同资源的用户，这样，一个链接就发布出去。通过协议逆向，攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去，瞬间就可以传遍整个P2P网络。更为恐怖的是，这种攻击是无法停止的，即使是攻击者自身也无法停止，攻击一直持续到P2P官方发现问题更新服务器且下载用户重启下载软件时为止。
　　ChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”，通过botnet的傀儡主机或寻找匿名代理服务器，向目标发起大量真实的http请求，最终消耗掉大量的并发资源，拖慢整个网站甚至彻底拒绝服务。
　　互联网的架构追求扩展性本质上是为了提高并发能力，各种SQL性能优化措施：消除慢查询、分表分库、索引、优化数据结构、限制搜索频率等本质都是为了解决资源消耗，而CC大有反其道而行之的意味，占满服务器并发连接数，尽可能使请求避开缓存而直接读数据库，读数据库要找最消耗资源的查询，最好无法利用索引，每个查询都全表扫描，这样就能用最小的攻击资源起到最大的拒绝服务效果。
　　互联网产品和服务依靠数据分析来驱动改进和持续运营，所以除了前端的APP、中间件和数据库这类OLTP系统，后面还有OLAP，从日志收集，存储到数据处理和分析的大数据平台，当CC攻击发生时，不仅OLTP的部分受到了影响，实际上CC会产生大量日志，直接会对后面的OLAP产生影响，影响包括两个层面，一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担。
　　CC是目前应用层攻击的主要手段之一，在防御上有一些方法，但不能完美解决这个问题。
　　2004年时DRDOS第一次披露，通过将SYN包的源地址设置为目标地址，然后向大量的
　　真实TCP服务器发送TCP的SYN包，而这些收到SYN包的TCP server为了完成3次握手把SYN|ACK包“应答”给目标地址，完成了一次“反射”攻击，攻击者隐藏了自身，但有个问题是攻击者制造的流量和目标收到的攻击流量是1:1，且SYN|ACK包到达目标后马上被回以RST包，整个攻击的投资回报率不高。
　　反射型攻击的本质是利用“质询-应答”式协议，将质询包的源地址通过原始套接字伪造设置为目标地址，则应答的“回包”都被发送至目标，如果回包体积比较大或协议支持递归效果，攻击流量会被放大，成为一种高性价比的流量型攻击。
　　反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。
　　流量放大型
以上面提到的DRDOS中常见的SSDP协议为例，攻击者将Searchtype设置为ALL，搜索所有可用的设备和服务，这种递归效果产生的放大倍数是非常大的，攻击者只需要以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。
&&攻击流量到底多大，这是一个关键问题。攻击量的大小。用的防护方法不一样。下面给你讲一讲，1G之内的防护方式。费用在，&1万，每月
　　谈到DDoS防御，首先就是要知道到底遭受了多大的攻击。这个问题看似简单，实际上却有很多不为人知的细节在里面。
以SYN Flood为例，为了提高发送效率在服务端产生更多的SYN等待队列，攻击程序在填充包头时，IP首部和TCP首部都不填充可选的字段，因此IP首部长度恰好是20字节，TCP首部也是20字节，共40字节。
对于以太网来说，最小的包长度数据段必须达到46字节，而攻击报文只有40字节，因此，网卡在发送时，会做一些处理，在TCP首部的末尾，填充6个0来满足最小包的长度要求。这个时候，整个数据包的长度为14字节的以太网头，20字节的IP头，20字节的TCP头，再加上因为最小包长度要求而填充的6个字节的0，一共是60字节。
但这还没有结束。以太网在传输数据时，还有CRC检验的要求。网卡会在发送数据之前对数据包进行CRC检验，将4字节的CRC值附加到包头的最后面。这个时候，数据包长度已不再是40字节，而是变成64字节了，这就是常说的SYN小包攻击，数据包结构如下：
|14字节以太网头部|20字节IP头部|20字节TCP|6字节填充|4字节检验|
|目的MAC|源MAC|协议类型| IP头 |TCP头|以太网填充 | CRC检验 |
到64字节时，SYN数据包已经填充完成，准备开始传输了。攻击数据包很小，远远不够最大传输单元（MTU）的1500字节，因此不会被分片。那么这些数据包就像生产流水线上的罐头一样，一个包连着一个包紧密地挤在一起传输吗？事实上不是这样的。
以太网在传输时，还有前导码（preamble）和帧间距（inter-frame gap）。其中前导码占8字节（byte），即64比特位。前导码前面的7字节都是和0间隔而成。但第八个字节就变成了，当主机监测到连续的两个1时，就知道后面开始是数据了。在网络传输时，数据的结构如下：
|8字节前导码|6字节目的MAC地址|6字节源MAC地址|2字节上层协议类型|20字节IP头|20字节TCP头|6字节以太网填充|4字节CRC检验|12字节帧间距|
也就是说，一个本来只有40字节的SYN包，在网络上传输时占的带宽，其实是84字节。
有了上面的基础，现在可以开始计算攻击流量和网络设备的线速问题了。当只填充IP头和TCP头的最小SYN包跑在以太网络上时，100Mbit的网络，能支持的最大PPS（Packet Per Second）是100×106 / (8 * (64+8+12)) = 00Mbit的网络，能支持的最大PPS是1488090。
SYN Flood防御
前文描述过，SYN Flood攻击大量消耗服务器的CPU、内存资源，并占满SYN等待队列。相应的，我们修改内核参数即可有效缓解。主要参数如下：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_synack_retries = 2
分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。
SYN Cookie的作用是缓解服务器资源压力。启用之前，服务器在接到SYN数据包后，立即分配存储空间，并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后，服务器不再分配存储空间，而且通过基于时间种子的随机数算法设置一个SYN号，替代完全随机的SYN号。发送完SYN+ACK确认报文之后，清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包，通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配，匹配则通过完成握手，失败则丢弃。当然，前文的高级攻击中有SYN混合ACK的攻击方法，则是对此种防御方法的反击，其中优劣由双方的硬件配置决定
tcp_max_syn_backlog则是使用服务器的内存资源，换取更大的等待队列长度，让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数，尽快释放等待资源。这三种措施与攻击的三种危害一一对应，完完全全地对症下药。但这些措施也是双刃剑，可能消耗服务器更多的内存资源，甚至影响正常用户建立TCP连接，需要评估服务器硬件资源和攻击大小谨慎设置。
除了定制TCP/IP协议栈之外，还有一种常见做法是TCP首包丢弃方案，利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后，简单比对该IP是否存在于白名单中，存在则转发到后端。如不存在于白名单中，检查是否是该IP在一定时间段内的首次SYN报文，不是则检查是否重传报文，是重传则转发并加入白名单，不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文，等待超时则判定为攻击报文加入黑名单。
首包丢弃方案对用户体验会略有影响，因为丢弃首包重传会增大业务的响应时间，有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受，按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单，由设备伪装真实客户端IP地址再与真实服务器完成三次握手，随后转发数据。而指定时间内没有和设备完成三次握手的IP地址，被判定为恶意IP地址屏蔽一定时间。除了SYN
Cookie结合TCP Proxy外，清洗设备还具备多种畸形TCP标志位数据包探测的能力，通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。
清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈，可以处理非常巨大的流量和SYN队列。
HTTP Flood防御
HTTP Flood攻击防御主要通过缓存的方式进行，尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业，会有庞大的CDN节点缓存内容。
当高级攻击者穿透缓存时，清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计，高于一定频率的IP地址加入黑名单。这种方法过于简单，容易带来误杀，并且无法屏蔽来自代理服务器的攻击，因此逐渐废止，取而代之的是JavaScript跳转人机识别方案。
HTTP Flood是由程序模拟HTTP请求，一般来说不会解析服务端返回数据，更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时，返回一段特殊JavaScript代码，正常用户的浏览器会处理并正常跳转不影响使用，而攻击程序会攻击到空处。
DNS Flood防御
DNS攻击防御也有类似HTTP的防御手段，第一方案是缓存。其次是重发，可以是直接丢弃DNS报文导致UDP层面的请求重发，可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。
特殊的，对于授权域DNS的保护，设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用，在攻击时，非此列表的请求一律丢弃，大幅降低性能压力。对于域名，实行同样的域名白名单机制，非白名单中的域名解析请求，做丢弃处理。
慢速连接攻击防御
Slowloris攻击防御比较简单，主要方案有两个。
第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中，HTTP报文太少和报文太多都是不正常的，过少可能是慢速连接攻击，过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击，在一个TCP连接中发送多个HTTP请求。
第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成，直接判定源IP地址为慢速连接攻击，中断连接并加入黑名单。
～～～～～～～～～～～～～～～～～～～～～·
下面我们细说一下，不同攻击量对应对方式
如果超过，&10G 攻击，如果大于10G攻击软件防护就扯蛋，
下面记住一句话，防ddos攻击大小于取决于你带宽的大小，与软件没关系。
国内现在100M带宽一个月就，便宜的8000，贵的2万多，1G带宽，8万，10G带宽，80万，你确定要自己防护？
业务逻辑很很多种，每家都不太一样，
WEB类型，这个是攻击最多，防护方案更广，可以选择国内，国外，cdn加速等，
游戏类型，这个必须得放在国内，放国外太卡，掉线，没人玩了
解决办法就是找第三方防ddos解决商，
10~50G防护，国内很多机房都可以防护，问题你给的钱够不够idc机房是否给你防护，他们防护示意图，
机房有一个总带宽，如果你攻击带宽太大就影响他正常客户，他就会找各种借口给你ip屏蔽。
很多攻击持续的时间非常短，通常5分钟以内，流量图上表现为突刺状的脉冲。
实际对机房没有什么影响，但是机房就给你ip屏蔽了，这个用于攻击游戏类网站，搞一会一掉线，用户全掉光了，
50G之间，单机防护，浙江，江苏，广东，都可以防都可以防护，月成本，2万左右，（价格说小于1万那就是骗子，已经测试过）
网上很多说无视，320G防护，全是吹牛的，他说的320G，应当就是udp攻击，因为电信上层给屏蔽了udp带宽，
广东有双线，合适放游戏类网站，速度快，防护还可以，
广东有些ip是屏蔽国外的流量，还有屏蔽联通的流量，意思就是除了电信的别的地方的流量都过不来，
就像这个ISP近源清洗
100～200G之个，这个现在是关键了，现在攻击这个是最多的，游戏类网站如果有怎么大攻击放国内，现在能有怎么大防护的，电信，广东，福州，广西，联通，有大连，
福州买过，2万多一个月，说防300G，130G就给封了，骗子，dns防护也不行，10G左右的dns攻击直接搞死了
广东机房买过，3万一个月，100g 就给封了，不过广东可以秒解，买200个ip，还是能防一会，广东的直接访问不了dns,机房做策略了。
&&广西，这个正测试，前几天放了dns在广西机房，打死了。
DNS攻击防护也是重点，买了dnspod的最贵那个版本3万多/年，封了，dnspod也，老吴不在那了吗？搞别的去了，现在真是垃圾，指着dnspod防护差远了，我给大家介绍一下，google有dns防护，好用，比dnspod便宜很多，还有CF，也非常好，200刀，没打死过。
上面就浪费十来万，测试dns测试100G防护，总结的经验，
游戏的只能放国内，还得看是udp,还是tcp，所以防护范围小。
WEB的防护比较多，可以考虑放国外，
现在国外比较能吹的，
美国SK机房，防100G，买了，安排机器花了2天，这个攻击完了ip,封1小时，真心不行。机房还老掉线，花了1万左右可能一个月，
美国hs机房，防80G，一个月8万，买了，打死了，他防到40G左右就给你封了，也跟骗子差不多，说是要加到200G防护，没看到，
美国CD机房，最后花了&10万每月，找的他们老板防住了，但是dns防护不行。
还有一家机房可以推荐，加拿大机房，单机防160G，集群480G，不封ip，防护还可以，缺点，卡，国内ping掉包，8000左右一个月，20元一个ip,
上面速度最快的是hs机房国内，150ms左右，没攻击的时候用用还行，有攻击防护差点意思。
我不是给机房做广告，我只是总结我最近防护的经验，国内可以放免备案的机房也有，资源联系方式，dns防攻击500G，都可以，你联系我。我可以免费告诉你这些资源的联系方式，
～～～～～～～～～～～～～～～～～～～～～～～～～～
最后说一下，云加速，
国内的云盾，收费死贵，防护不行，别看他家的了。
阿里云防护，单机防4个G，不贵，小企业可以用，缺点得备案，还有如果你有非法信息，他们可以直接给报官了（最垃圾的是这点）
百度云加速，说是防1T攻击，我认真研究了一下，他是联合，国外的CF云加速，电信的云堤（近源清洗）说能防1T，攻击400G他转到CF国外，国内600G攻击，全是云堤防护的，
什么是近源清洗，就是江苏有攻击，到电信江苏的出口的时候，isp，中国电信直接不让他出口，
目前如中国电信的专门做抗DDOS的云堤提供了[近源清洗]和[流量压制]的服务，对于购买其服务的厂商来说可以自定义需要黑洞路由的IP与电信的设备联动，黑洞路由是一种简单粗暴的方法，除了攻击流量，部分真实用户的访问也会被一起黑洞掉，对用户体验是一种打折扣的行为，本质上属于为了保障留给其余用户的链路带宽的弃卒保帅的做法，之所以还会有这种收费服务是因为假如不这么做，全站服务会对所有用户彻底无法访问。对于云清洗厂商而言，实际上也需要借助黑洞路由与电信联动。
百度云加速，还没测试过，不评价，总结国内的厂商全是吹牛B的比较多，行业就这样，
国外的比较可靠，但是收费的确不便宜，
三家，可以推荐，
亚马逊，30G攻击无视，攻击大了，也给你封了，推荐他最大优点，按流量收费，可以按小时收费，不要备案，国内还得先备案，这我买6个节点，用三天死了。
CF加速，这个dns防护无敌，百度云加速就是联合的他家。
akamai，这家是给苹果做防护的，说只有苹果发布会的打死过一次，我没试太贵了，1G，3.5元，一天估计就得5000左右一天，
cdn加速，是防CC的一个主要手段
CDN/Internet层CDN并不是一种抗DDOS的产品，但对于web类服务而言，他却正好有一定的抗DDOS能力，以大型电商的抢购为例，这个访问量非常大，从很多指标上看不亚于DDOS的CC，而在平台侧实际上在CDN层面用验证码过滤了绝大多数请求，最后到达数据库的请求只占整体请求量的很小一部分。
　　对http CC类型的DDOS，不会直接到源站，CDN会先通过自身的带宽硬抗，抗不了的或者穿透CDN的动态请求会到源站，如果源站前端的抗DDOS能力或者源站前的带宽比较有限，就会被彻底DDOS。
～～～～～～～～～～～～～～～
如果你是正规网站，你别怕有攻击，不会有怎么大攻击的，现在黑客主要攻击那些非正规的网站,H 站，棋牌，菠菜，都是攻击要钱的，
正规网站他不会天天来打死你，攻击你的都是竞争对手。
如果有一天，有人攻击你要钱，下面就是要做的事。
立案和追踪
目前对于流量在100G以上的攻击是可以立案的，这比过去幸福了很多。过去没有本土特色的资源甚至都没法立案，但是立案只是万里长征的第一步，如果你想找到人，必须成功完成以下步骤：
o&& & & &&在海量的攻击中，寻找倒推的线索，找出可能是C&C服务器的IP或相关域名等
o&& & & &&“黑”吃“黑”，端掉C&C服务器
o&& & & &&通过登录IP或借助第三方APT的大数据资源（如果你能得到的话）物理定位攻击者
o&& & & &&陪叔叔们上门抓捕
o&& & & &&上法庭诉讼
如果这个人没有特殊身份，也许你就能如愿，但假如遇到一些特殊人物，你几个月都白忙乎。而黑吃黑的能力则依赖于安全团队本身的渗透能力比较强，且有闲情逸致做这事。这个过程对很多企业来说成本还是有点高，光有实力的安全团队这条门槛就足以砍掉绝大多数公司。笔者过去也只是恰好有缘遇到了这么一个团队。
是有成功案例，燕郊，黄总，有人攻击他要钱，完了他打了几千，报警抓住了。但不是你报警就有人管你的，还得有关系（国情你懂的）不过，你可以找我呀，我可以告诉你怎么办呀。哈哈。
总结一下，
WEB网站攻击，一般流量，直接syn,udp，打不死，就攻击你的dns,不行还能举报你，
游戏网站，他不直接打死你，让你老掉线，玩不了，目的达到了。所以这类网站需要提前布置防护。
还有支付类网站，
中小企业，主要看攻击量的大小选择方案，如果你们公司不差钱，那就别向下看了，
下面我可是报行业内幕，
&30G攻击， 3000左右一个月，非连续攻击，可用，单机防，
&50G攻击，1万左右一个月，非连续攻击，可用，双机防，
&100G攻击，2～3万，连续攻击/日，需要用集群防，
&300G攻击，5～8万，连续攻击/日，需要集群，加CDN，学习百度云加速，国外的防护让CF帮着防，国内的找云堤防，
所以，总结一下那些公司是骗人的，你们不白花钱去再测试了。我已经测试过了。
时间紧很多点没有写全，写透，今后找个时间再总结分类。
& & & &&2015年9月
参考文章：
浅析大规模DDOS防御架构-应对T级攻防
http://www.77169.org/netadmin/HTML/59.shtm
我们网站坚持 ，免费，自由，共享，
你要对本文有什么不明之处，可以加 华盟–黑白之道⑦ 9430885，我将给你解答。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：85442次
积分：3398
积分：3398
排名：第6635名
原创：241篇
转载：150篇
评论：12条
(3)(4)(4)(8)(11)(3)(9)(3)(12)(9)(4)(40)(26)(9)(13)(8)(8)(6)(1)(6)(2)(1)(24)(13)(1)(13)(10)(4)(5)(47)(29)(3)(4)(20)(23)(1)(3)