曾几何时,DoS(拒绝服务攻击)还只是个小打小闹的“小流氓”,采用一对一的攻击方式,但随着互联网的蓬勃发展,它的野心也日益膨胀。逐渐地,DoS攻击方式从一对一演变为多对一,以更大的规模、更猛烈的攻势,向受害者发起冲击。因其恶名昭彰,人们便赋予了它一个新的名字——DDoS(分布式拒绝服务攻击)。
随着时间的推移,DDoS家族日益壮大,衍生出了SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Flood(此处应具体指明是哪种Flood,如HTTP Flood)、Proxy Flood等多种攻击方式。而在这些孩子中,CC攻击无疑是最为狡猾、最具技术含量的一位。
CC攻击,如同青出于蓝而胜于蓝的“叛逆少年”,它利用代理服务器或“肉鸡”(被黑客控制的计算机),向受害主机发送大量数据包,造成服务器资源耗尽,直至宕机崩溃。与DDoS攻击针对IP层面不同,CC攻击专门瞄准网站的网页层面,两者都善于利用TCP/IP协议的漏洞,对网站的WEB应用程序进行疯狂打击,让网站陷入水深火热之中。
那么,DDoS攻击的原理究竟是什么呢?DDoS,全称分布式拒绝服务(Distributed Denial of Service),它针对的是信息安全三要素中的“可用性”。通过利用目标系统网络服务功能的缺陷或直接消耗其系统资源,DDoS攻击使得目标系统无法提供正常的服务。这一问题一直未能得到合理的解决,至今仍被视为世界性难题。究其原因,乃是网络协议本身存在的安全缺陷所致。因此,DDoS攻击也成为了攻击者手中的“终极武器”。
在DDoS攻击下,服务器会面临两种困境:一是缓冲区被填满,无法接收新的请求;二是受到IP欺骗的攻击,导致服务器将合法用户的连接复位,影响合法用户的正常使用。这种攻击方式不仅让服务器陷入瘫痪,更让运行在服务器上的网站无法正常访问,给网站运营者带来巨大损失。
而CC攻击的原理又是什么呢?CC攻击,全称Challenge Collapsar(挑战黑洞),其名字便透露出它的“嚣张”气焰。因为早期的抗DDoS安全设备被称为黑洞,而CC攻击却能轻易挑战黑洞的防御能力。新一代的抗DDoS设备已经改名为ADS(Anti-DDoS System),虽然能够较好地抵御CC攻击,但CC攻击的威胁仍然不容忽视。
CC攻击通过代理服务器或大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,从而消耗目标CPU资源,造成拒绝服务。与DDoS攻击不同,CC攻击本身的请求看起来是正常的请求,这使得它更加难以防范。
我们都知道,网站的页面有静态和动态之分。静态网页是固定的,不需要与后台数据库进行交互;而动态网页则需要与后台数据库进行实时交互,如论坛用户登录时需要查询等级、权限等信息,留言时需要查询权限、同步数据等。这些操作都会消耗大量的CPU资源,导致静态网页能够正常打开,但需要与数据库交互的动态网页却打开缓慢甚至无法打开。
CC攻击正是利用了这一点,通过发送大量看似正常的请求,让服务器陷入繁忙状态,无法及时响应合法用户的请求。这种攻击方式虽然实现起来相对复杂一些,但防御起来却相对简单。只要网站运营者尽量少用动态网页,并让一些操作提供验证码等验证手段,就能有效抵御一般的CC攻击。
那么,如何区分DDoS攻击和CC攻击呢?其实,两者的主要区别在于攻击目标和攻击方式的不同。DDoS攻击针对的是网站的服务器层面,属于WEB网络层拒绝服务攻击;而CC攻击则针对的是网站的页面层面,属于WEB应用层拒绝服务攻击。
DDoS攻击利用肉鸡的流量去攻击目标网站的服务器,针对的是比较本源的东西。一旦服务器瘫痪,那么运行在服务器上的网站肯定也无法正常访问。而CC攻击则针对的是用户能够看到的网页层面。它利用看似正常的请求对网页进行攻击,当这种“正常请求”达到一定程度时,服务器就会响应不过来,从而崩溃。
在电商平台的双十一大促期间,这种攻击尤为猖獗。各大电商平台的机房往往灯火通明,紧张地观察着一切动态。为了防范DDoS和CC攻击,他们不惜投入巨资购买各种流量清洗设备、软硬件防护手段。因为一旦服务器崩溃,那将意味着巨大的经济损失和声誉损害。
曾有人笑言,每年的双十一都是一场没有硝烟的战争,而最大的DDoS攻击往往就在此时悄然降临。但无论攻击如何猛烈,只要我们深入了解其原理、掌握有效的防御手段,就能在这场战争中立于不败之地。让我们共同守护网络世界的和平与安宁!
发表回复