揭開傳說的面紗 拒絕CC對伺服器的攻擊

【賽迪網-IT技術報道】【社區整理】近來經常聽到圈子裡的朋友跟我提到CC這種攻擊:見不到虛假ip，見不到特別大的流量，但無法進行正常連接。

傳說一條adsl足以搞掂一台高性能伺服器。據可靠消息，重慶電信的很多遊戲伺服器雖在黑洞之下但飽受CC之苦，本人只是耳聞並沒有機會親歷，我在google搜索CC相關內容很少。XFOCUS給出了一個什麼CCsource作者是bigboyq，這裡是他的blog：http://blog.n-ku.com/blog.asp?name=bigboy。

我粗略的看了下CCsource這個東西，他的基本原理就是攻擊發起主機(attacker host)多次通過網絡中的HTTP代理伺服器(HTTP proxy)向目標主機(target host)上開銷比較大的CGI頁面發起HTTP請求造成目標主機拒絕服務(Denial of Service)。

這是一種很聰明的分佈式拒絕服務攻擊(Distributed Denial of Service)，與典型的分佈式拒絕服務攻擊不同，攻擊者不需要去尋找大量的傀儡機，代理伺服器充當了這個角色。

bigboyq針對自己的CC提出了解決辦法我引述原文:

"對於HTTP請求可以使用COOKIE和SESSION認證來判斷是否是CC的請求頁面，防止多代理的訪問請求，而且CC通過代理攻擊，代理在轉發資料的時候會向HTTP伺服器提交一個x-forward-ip（好像是，這就是為什麼我們有時使用了代理，對方伺服器一樣知道我們的真實IP）這樣也是一個非常好的判斷方法，因為網絡上的代理雖然多，但是大部分都是非匿名的，就是說會發送x-forward-ip的代理。"

簡單的說bigboyq的這個CC攻擊器的實現，可以通過特徵過濾的辦法有效的解決。

我聽說的案例大部分都是遊戲伺服器，沒有WEB服務的。但據攻擊發起者宣稱使用了CC。

我提到我對CC的攻擊案例也只是耳聞，不過我覺得這種攻擊方式也就是利用proxy充當傀儡機是種不錯的想法而且不應該只局限於對web的攻擊我沒有鼓勵攻擊之意只是就技術論技術。

這說明這些案例中攻擊者使用的CC並不是bigboyq寫的CC，但據我個人估計很可能CC攻擊都是用了同樣的原理。

借助的可能是SOCKS5 proxy或者SOCK4 proxy。

這樣attacker host通過socks proxy維持大量小流量連接佔滿target host應用層服務的連接數。造成拒絕服務。

例如很多apache連接數不過是512或者1024這是很容易造成DOS。

（