什么是CC攻击,如何防止网站被CC攻击?
什么是CC攻击?
攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(Challenge Collapsar)。CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。
防御方法
对于CC攻击.其防御必须采用多种方法,而这些方法本质上也是在提高服务器的并发能力。
1、服务器垂直扩展和水平扩容
资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了对CC攻击的承载能力。垂直扩展:是指增加每台服务器的硬件能力,如升级CPU、增加内存、升级SSD固态硬盘等。水平扩容:是指通过增加提供服务的服务器来提升承载力。上述扩展和扩容可以在服务的各个层级进行,包括:应用服务器、数据库服务器和缓存服务器等等。
2、数据缓存(内存级别,不要用文件)
对于服务中具备高度共性,多用户可重用,或单用户多次可重用的数据,一旦从数据库中检索出,或通过计算得出后,最好将其放在缓存中,后续请求均可直接从缓存中取得数据,减轻数据库的检索压力和应用服务器的计算压力,并且能够快速返回结果并释放进程,从而也能缓解服务器的内存压力。要注意的是,缓存不要使用文件形式,可以使用redis、mem—cached等基于内存的nosql缓存服务,并且与应用服务器分离,单独部署在局域网内。局域网内的网络IO肯定比起磁盘IO要高。为了不使局域网成为瓶颈,千兆网络也是有必要的。
3、页面静态化
与数据缓存一样,页面数据本质上也属于数据,常见的手段是生成静态化的html页面文件,利用客户端浏览器的缓存功能或者服务端的缓存服务,以及CDN节点的缓冲服务,均可以降低服务器端的数据检索和计算压力,快速响应结果并释放连接进程。
4、用户级别的调用频率限制
不管服务是有登陆态还是没登陆态,基于session等方式都可以为客户端分配唯一的识别ID(后称作SID),服务端可以将SID存到缓存中。当客户端请求服务时,如果没有带SID(cookie中或请求参数中等),则由服务端快速分配一个并返回。可以的话,本次请求可以不返回数据,或者将分配SID独立出业务服务。当客户端请求时带了合法SID(即SID能在服务端缓存中匹配到),便可以依据SID对客户端进行频率限制。而对于SID非法的请求,则直接拒绝服务。相比根据IP进行的频率限制,根据SID的频率限制更加精准可控,可最大程度地避免误杀情况。
5、IP限制
最后,IP限制依然可以结合上述规则一起使用,但是可以将其前置至)JCb层的防火墙或负载均衡器上去做,并且可以调大限制的阈值,防止恶意访问穿透到应用服务器上,造成应用服务器压力。
目前市面上已经很多网站防御CC的产品,如高防CDN、高防IP、高防服务器等。相关链接
如何避免网站被黑客攻击?
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑,被攻击。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的公司来给你解决挂马问题,国内最有名的网站安全公司也就sinesafe和绿盟之类的公司。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二:挂马恢复措施:
1.修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2.创建一个robots.txt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4.限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5.自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8. cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9.目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10.自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护
a.定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
阻止cookie有什么影响
禁用Cookie后,几乎所有需要用户登陆帐号的网站都因为Cookie的禁用而导致无法正常登陆。无法登陆帐户,则导致了用户不能购物、不能发微博、写日志、不能去论坛灌水,更不能使用网银。有些内嵌网页登陆界面的软件也会因此导致无法登陆。
Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。
相关信息
Cookies 是文本文件, 一般情况下认为它不会造成安全威胁。 如果在 Cookies 中通过特殊标记语言,引入可执行代码,就很可能给用户造成严重的安全隐患。HTML 为区别普通文本和标记语言,用符号“”来指示HTML 代码。 这些 HTML 代码或者定义 Web 网页格式,或者引入 Web 浏览器可执行代码段。
Web 服务 器可以使用Cookies 信息创建动态网页。假使 Cookies 包含可执行恶意代码段,那么在显示合成有该 Cookies 的网页时,就会自动执行这段恶意代码。当然,恶意代码能否真正造成危害,还取决于Web 站点的安全配置策略。
🐂HTTP中的Cookie机制🐂
HTTP本身是【无状态】,对于HTTP来说无状态这个特点是一把双刃剑
优点就是服务器不用存储状态。可以容易组成集群,缺点就是无法记录有状态的连续事务操作;
后来出现了Cookie机制,由于HTTP本身的优点中有一点是可扩展,Cookie机制的加入这就给HTTP增加了【记忆功能】
响应头字段【Set-Cookie】和请求头字段【Cookie】
当浏览器第一次访问服务器时,服务器不知道这哥们是谁,就需要创建一个身份标识数据,格式时【key=value】,然后放进Set-Cookie字段里,随着响应报文一同发给浏览器;
浏览器收到响应报文时就查找Set-Cookie中给的身份,并且【存储起来】,等着下次请求时就自动把这个值放进Cookie字段里面发送给服务器;
当第二次请求时,请求报文中就携带了Cookie字段,服务器收到后就知道这哥们我认识,就拿出Cookie中的值,识别出了用户画像,提供个性化服务;
有时服务器会在响应头中添加多个Set-Cookie,浏览器这边就存储多对【key-value】,浏览器这边再次请求时就使用一个Cookie,对应多对【key-value】使用【;】进行分隔;
需要明确
cookie是由客户端存储的(浏览器),当我们换浏览器或者设备时(电脑)服务器就不认得我们啦;
所谓的Cookie属性就是用来保护Cookie防止外泄或者窃取;
Cookie的有效期,让它只能在一段时间内可以用;
Cookie的有效期可以使用【Expires】和【Max-Age】两个属性设置;
俗称过期时间,可以理解为截止日期
用的是相对时间,当客户端收到报文的时间点加上Max-Age,就可以得到失效的绝对时间;
客户端会 优先采用Max-Age的机制计算失效期;
原理很简单,响应报文中Set-Cookie中,会携带【Domain】和【Path】的属性,
当我们浏览器请求时会从URI中提取host和path部分,对比Domain和Path的属性,如果匹配不成功,请求头字段中就不带Cookie了;
使用Cookie作用域可以为不同的域名和路径设置不同的Cookie;
在日常的开发中。FE同学可以在JS脚本中用【document.cookie】来读写Cookie数据,这就带来隐患,可能会导致【跨站脚本】攻击窃取数据;
会告诉浏览器,该Cookie只能通过浏览器HTTP协议传输,禁止其他的方式访问;
那么JS引擎就会禁用documen.cookie的API
可以防范【跨站请求伪造】攻击,有如下三种值可设置;
SameSite=Strict
严格规定Cookie不能随着跳转链接跨站发送
SameSite=Lax
稍微宽松一点,允许GET/HEAD等方法携带,但是禁止POST跨站携带发送
SimeSite=None;Secure
标识这个Cookie发送只能使用HTTPS协议加密传输,明文的HTTP协议会禁止发送;
最近在做Target31升级,就涉及到SameSite属性变更的改造(WebView;升级到Target31后Cookie中SameSite属性默认是Lax),由于业务方很多包含客户端、Server、FE这个改造成本很大,后面有机会写写这个改造过程;
用户携带用户的登录信息,实现连续的会话务;
当我们上网时看过很多广告的图片,这些广告图片背后都是广告商网站,它会给你悄悄搞上Cookie,这样你上其他网站别的地方广告就能用这个Cookie读出你的身份,做出分析,给你接着推广告;
Cookie特性详解
cookie的几个属性:
expire:cookie的生存期,默认是暂时存储
path:cookie的关联网页,默认是当前目录的网页或者当前目录下的字子目录
domain:设置共享cookie的域名(同一主域名下)切将path设为PATH='/'
secure属性:在https协议下生效,才会传递到服务器端,http协议不会传递。
HttpOnly属性:无法通过脚本程序(js)读取到cookie信息,有效防止XSS攻击。
安全性:出于安全方面的考虑,只有与创建 cookie 的页面处于同一个目录或在创建cookie页面的子目录下的网页才可以访问
同域情况:让这个设置的cookie 能被其他目录或者父级的目录访问的方法:
document.cookie = "userName = 独行冰海; path=/";
相同主域不同二级域名的跨域情况:
document.cookie = "username=独行冰海; path=/; domain=baidu.com"
chrome限制js设置cookie,IE可在本地JS设置cookie
A站点通过script src标签的跨站请求B站点如果请求数据是img 则不会带cookie等数据
如果请求数据是一个get请求地址,则cookie会随请求发出(此时cookie是B站点cookie)
根据这个特性我们可以构造CSRF攻击
实验截图
Cookie限制:
(1)cookie个数限制
IE :原先为20个,后来升级为50个
Firefox: 50个
Opera:30个
Chrome:180个
Safari:无限制
当Cookie数超过限制数时浏览器的行为:IE和Opera会采用LRU算法将老的不常使用的Cookie清除掉,Firefox的行为是随机踢出某些Cookie的值。当然无论怎样的策略,还是尽量不要让Cookie数目超过浏览器所允许的范围。
(2) 浏览器所允许的每个Cookie的最大长度(localstorage为5M)
Firefox和Safari:4079字节
Opera:4096字节
IE:4095字节
(3) 服务器中Http请求头长度的限制。Cookie会被附在每次http请求头中传递给服务器,因此还会受到服务器请求头长度的影响。
0条大神的评论