攻击界的新世代:超级CC降临
2021-02-01 16:45:57 Author: www.secpulse.com(查看原文) 阅读量:251 收藏

2020112708512881.jpg

网络世界高速发达也错综复杂,互联网环境暗流涌动,企业线上线下出现两难,这两个现象在今年最为常见:对于线下,客户作为投机分子,自然是择良木而栖,这对企业而言是莫大的损失,因此很难像以往那样把业务扩展开来;对于线上,各种各类网络攻击频繁出现,网站掉线、服务器崩溃已经不是奇事。最大型的DDoS攻击连战连捷,以“速度快、火力猛”的优势歼灭中小企业网站和服务器无数,直至企业关张倒闭后才偃旗息鼓。而今攻击态势依旧,其派系发育速度空前,短时间便可以让提前预防部署的企业再次失策。到底是什么原因让企业网站和服务器接连失守?在研究出最新的防御策略之前,先了解下当下最应该注意的攻击类型。

业界大毒枭——DDoS攻击

2020112708511682.jpg

这是企业里最让人头疼的敌人。它诞生于上个世纪70年代,在互联网还未从娃娃抓起的时候就已经成型;在新世纪到来之前所有的行动已经非常成熟老练,对那些刚开始在互联网上开展业务的企业给予迎头痛击;而后在网络通讯发达的近几年间,DDoS攻击已经随着时代演变到微微抬手就是一个T的毁灭性打击,除了秒杀掉防范意识不强的中小企业,还会跑到一些专业过硬的网安和防御站挑衅对方,它料到那些安防机构的能力,所以那些被捕捉到的记录,让人误以为抵挡住了这次攻击,而DDoS的本体早已溜之大吉,跑到下一个站点继续肆虐。

2020112708511899.jpg

DDoS攻击也不是无差别攻击。它的方式,简单粗暴,利用数十甚至成百上千的僵尸大军(代理机),像攻击目标(源站IP)发送无效的访问数据,企图用这样的方式在企业还没有开始预防之前直接把攻击目标搞垮,企业如果没有一点危机意识,在网络方面侦测出DDoS进犯的痕迹,这样无异于白给;尽管企业具备一些带宽资源用于防范DDoS攻击,它也会毫不留情加大攻击包的投掷数量,让企业承受超负荷的抵抗之后跪地求饶,交出赎金。应运而生的DDoS攻击,对金钱的理念颇深,它们最后暴露出来的本性就是拿到赎金扬长而去,企业因此吃了教训。于是以后这样的攻击形式被人知晓,勒索钱财的粗暴行径也很容易让企业想到是同行竞争所为,而最大赢家DDoS,在慢慢向哥布林看齐的路上不断壮大自己……

全民悍匪——CC攻击

2020112708512032.jpg

因为大毒枭的开路,网络世界顺应规则,衍生了很多奇怪又凶猛的攻击类型,除了SYN Flood洪水攻击和海啸攻击,CC攻击成了攻击界的当红悍将。攻击者通过代理服务器或者控制大量“僵尸网络”“肉鸡”模拟真实用户向受害主机不停地发大量数据包,消耗对方服务器资源,一直到宕机崩溃。CC攻击,背负着“挑战黑洞”的美名,严格来说是DDoS祖师爷攻击类型的一种,其攻击对象和祖师爷不同,它的攻击对象主要针对网站页面(WEB应用层),使用代理服务器向受害服务器发送大量请求,而且相较于DDoS发送无效请求,它发送的请求都是貌似合法且真实的,然后其他步骤与先前一致,不停发送,直至服务器资源耗尽、网站崩溃。虽然其攻击手法听上去与祖师爷如出一辙,但是CC通过演变,发展成直接攻击、代理攻击、僵尸网络攻击等以上三种主要形式,攻击流量都不是很高,但是破坏性依然很大。CC攻击在攻击界里程碑上迈出了雄伟的一步。然而这样的攻击,因为门槛较低的缘故,导致稍微对互联网有一点皮毛的人都可以发动。CC攻击出现的意义,也是告诉企业和世人,我们就像大火,永远都扑不灭,必要的时候你们还会倒戈与我为盟。

2020112708512251.jpg

另外由于现在许多免费代理服务器都支持匿名模式,这使得攻击追踪会变得异常困难,这也充分说明了CC攻击防不胜防的程度也在随之增强。

后起之秀——超级CC

通过攻击演变和不断增强,CC攻击在既定策略上推陈出新,以往的CC攻击,通过少量的IP进行大量的真实的访问,尽管这些请求合法更像正常用户的访问,但也因为它浩浩荡荡的访问,很容易被具备攻防能力的企业侦知。当企业查明自己正在遭受攻击,就会首先保护住自己的IP,并且将原有部署的CDN站点负责应对这波攻击,导致CC难以得逞。后来,攻击界出现了一种新型的CC攻击——超级CC。这种新型攻击已经在互联网成为潮流,它沿袭了DDoS攻击的传统艺能,在一定程度上修补了CC攻击的不足之处:在量级上,超级CC可以把自己的几个G的攻击流量分解为CC攻击的数倍,然后和CC攻击一样发送真实的访问,只是区别在于IP数量和访问数量:例如,CC攻击利用10个IP进行上万次访问,平均下来每个IP都有上千次的访问数量,这样的数量反映的是攻击者揭露自己是来攻击的意图,被侦测到就很简单了;反之,如果出现大量的进行访问,即使访问数量依然惊人,但是每个IP访问的次数几乎接近真实用户的访问次数,就造成了很难识别的尴尬局面。这就是超级CC。

2020112708512483.jpg

超级CC通过逼真的IP伪装,以量级的规模绕过虚拟站点和防火墙,完成服务器宕机崩溃的目标。好比如把一个大型的病毒分解成不计其数的微小病毒,透过身体机能缺口的缝隙和死角,瓦解人的免疫系统。

攻防专案组——企业基本预防

攻击的千变万化和大范围的烧杀抢掠,令企业叫苦不迭,网安出手抓捕攻击,企业联合服务厂商开发新技术预防和抵挡攻击。他们根据历来的攻击足迹,针对服务器储备带宽、IP和网站页面进行相应的预防和部署:

2020112708512528.jpg

面对久经沙场的DDoS攻击,企业选择把源站保护起来,当攻击进犯,企业会利用事先准备好的虚假IP去应对攻击,毕竟DDoS攻击在发动攻击之前只认IP,或者就是把自己打造成一个Tank的形象,做好带宽储备,攻击来临直接肉搏,用雄厚的带宽资源和攻击流量互相耗尽的方式终止战斗,不过这种歼敌一千自损一万的方式着实不提倡,因为你无法预知正在面对的是多大规模的攻击;

而面对闻风丧胆的CC攻击,企业可以将自己的网站由动态化转至静态化,同时取消域名绑定,把域名解析到一个安全的地址,这样攻击者就不会攻击到你真实的域名。不过这样做的缺点是,它有效阻止了CC模拟用户的访问,也会影响到真实用户访问,那网站有效流量丢失就很亏了。如果实在不行,只能选择“服务器垂直扩展和水平扩容”:垂直扩展,是指增加每台服务器的硬件能力,如升级 CPU,增加内存,升级 SSD 固态硬盘等;水平扩容:是指通过增加提供服务的服务器来提升承载力。说白了,企业有条件的话,氪金提升装备度过难关也不是不可以。怕的是你轻敌CC攻击的杀伤力。应对CC攻击,客户自身若想高效的做好攻防部署,其防御成本的投入势必是巨大的,因此只有依靠运营商的专业防护能力,实现平台级的整体防御,对攻击流量进行有效的封堵、清洗,从而将影响减到最低;至于面对超级CC,这里不做赘述,找亚洲云海,再硬也能防!

本文作者:HOT-Allen

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/152803.html


文章来源: https://www.secpulse.com/archives/152803.html
如有侵权请联系:admin#unsafe.sh