CDN网站防御

时间：2023-04-21 19:39:01 | 来源：网站运营

时间：2023-04-21 19:39:01 来源：网站运营

CDN网站防御：CDN防御采用零部署、提供端对端、基于电脑技术一站式解决各种安全问题及应用加速

高防CDN安全防护系统为网站、在线应用提供一站式的安全加速解决方案，网站在“零部署”、“零维护”的情况下，防止诸如 XSS、SQL注入、木马、零日攻击、僵尸网络等各种安全问题。保护他们免受日益增加并不断进化的众多网络威胁的侵害，特别是分布式拒绝服务（DDoS）攻击。同时采用全球跨运营商智能调度、页面优化、智能缓存等技术，进一步提升访问速度，降低故障率，从而整体提升网站的用户体验。

流量攻击介绍

　　1:什么是DDoS攻击

　　DDOS又称为分布式拒绝服务，全称是Distributed Denial of Service。 DDoS攻击原理： 通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求，使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。常见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。其中SYN flood是最常见的一种，其原理是TCP协议设计中得缺陷（3次握手）。在SYN flood攻击时，首先伪造大量的源IP地址，分别向服务器发送的大量的SYN包，服务器会返回ACK/SYN包，但是IP是伪造的，所以服务器是不会受到应答的，会重试3-5次，并且等待一个SYN time（一般是39秒到2分钟），如果超时则丢弃这个连接。攻击者发送大量的这种伪造源地址的SYN请求，服务端会消耗很多的资源（CPU和内存）来处理这种半连接，同时还要对这些请求进行SYN/ACK重试，最后的结果就是服务器无暇理睬正常的连接请求，导致拒绝服务。




　　2:什么是CC攻击

　　CC攻击的前身是一个叫fatboy的攻击程序，当时是黑客为了挑战绿盟的一款防DDOS设备开发的。 CC应该算是一个应用层的DDOS，是发生在TCP3次握手已经完成之后，，所以发送的IP都是真实的，但应用层的DDOS又是甚至比网络层的DDOS更可怕，因为今天几乎所有的商业anti-DDOS设备，只在对抗网络层DDOS时效果较好，而对应用层DDOS攻击却缺乏有效的手段。CC攻击的原理很简单，就是对一些消耗资源交单的应用页面不断地发起正常的请求，以达到消耗服务端资源的目的，在web应用中，查询数据库、读写硬盘文件的操作，相对都会消耗比较多的资源。一个简单的例子，一个小的网站，可能被搜索引擎、信息收集等系统的爬虫爬死，或者是扫描器扫死，这与应用层的DDOS攻击的结果很像。




　　3:大级别攻击运行原理

　　一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，骇客(cracker)有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自骇客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦骇客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 　　有的朋友也许会问道："为什么骇客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的骇客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。 　　但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，骇客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是骇客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，骇客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对骇客来讲就轻松多了，这样从控制机再找到骇客的可能性也大大降低。

　　4:DDOS攻击的目的？

　　骇客一般都出于商业目的，比如有人雇佣骇客对一个网站进行攻击，事后给钱；不过如果该网站报警后被查出来幕后黑手的话，那么骇客和这位雇佣骇客的幕后黑手将受到法律严惩！但是通过肉鸡攻击的ddos一般在雇佣攻击的情况下则比较难查，因为都是专业骇客。

　　5:TCP全连接攻击？

　　和SYN攻击不同，它是用合法并完整的连接攻击对方，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的DDOS软件中非常常见，有UDP碎片还有SYN洪水，甚至还有TCP洪水攻击，这些攻击都是针对服务器的常见流量攻击 　　59.50.179.84:2900 220.181.6.18:80 ESTABLISHED 　　59.50.179.84:2901 220.181.6.18:80 ESTABLISHED 　　59.50.179.84:2902 220.181.6.18:80 ESTABLISHED 　　59.50.179.84:2903 220.181.6.18:80 ESTABLISHED 　　通过这里可以看出59.50.179.84这个IP对220.181.6.18这台服务器的80端口发动TCP 全连接攻击，通过大量完整的TCP链接就有可能让服务器的80端口无法访问。 　　SYN变种攻击：发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节，这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

　　6:TCP混乱数据包攻击 ？

　　发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn,ack,syn+ack,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

　　7用UDP协议的攻击？

　　很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截。
　　8:WEB Server多连接攻击

　　通过控制大量肉鸡同时连接访问网站，造成网站瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封。

　　9:WEB Server变种攻击

　　通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护。

　　10:针对游戏服务器的攻击

　　因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等，因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。 　　以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错，但是不能从根本上来分析tcp，udp协议，和针对应用层的协议，比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞，或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。