黑客web脚本攻击与防御技术核心剖析 CC攻击详解

# 样本一
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {

# 样本二，提高了burst值，明显nginx成功的请求数上去
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        limit_req   zone=one  burst=10 nodelay;
    }
}
# 样本三，去掉nodelay，成功的请求数在100左右而失败的请求数变成0了
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        limit_req   zone=one  burst=10;
    }
从这里的数据可以看到将nodelay的参数去掉的话，成功的请求数在100左右而失败的请求数变成0了，为什么呢？
存在的问题：
虽然用limit_req_module可以一定上的防止CC攻击，但是有误杀概率；国内宽带用户的IP地址已经大量内网化，几百人共享一个IP的可能性是很大的。
六、防御方法
1、对于轻量级CC工具，通过工具、脚本进行屏蔽IP限制防御，CCKiller：
2、接入高防CDN，隐藏服务器源IP，自动识别攻击流量，清洗后将正常访客流量回源到源服务器IP上，保障业务安全。
3、网站页面静态化： 网站页面静态化可以较大程度的减少系统资源消耗，从而达到提高抗系统抗攻击能力(业务不同，成本高)。
4、域名欺骗解析：如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受(杀敌一千，自损八百)。
5、nginx 配置限制，如上
七**、建议后续工作：**
保守：站点应尽快进行服务能力升级。
积极：尽所能，追溯攻击者。
追溯攻击者：
CC：proxy-forward-from-ip
单个IP高并发的DDOS：找到访问异常的、高度可疑的ip列表，exploit，搜集、分析数据，因为一个傀儡主机可被二次攻占的概率很大（但不建议这种方法）
单个IP低并发的DDOS：以前极少访问被攻击站点，但是在攻击发生时，却频繁访问我们的站点，分析日志得到这一部分ip列表
追溯攻击者的过程中，snat与web proxy增加了追踪的难度，如果攻击者采用多个中继服务器的方法，追溯将变得极为困难。
防御者：
1.应对当前系统了如指掌，如系统最高负载、最高数据处理能力，以及系统防御体系的强项与弱点
2.历史日志的保存、分析
3.对当前系统进行严格安全审计
4.上报公安相关部分，努力追溯攻击者
5.网站，能静态，就一定不要动态，可采取定时从主数据库生成静态页面的方式，对需要访问主数据库的服务使用验证机制。
6.防御者应能从全局的角度，迅速及时地发现系统正在处于什么程度的攻击、何种攻击，在平时，应该建立起攻击应急策略，规范化操作，免得在急中犯下低级错误
对历史日志的分析这时将会非常重要，数据可视化与统计学的方法将会很有益处：
1.分析每个页面的平均访问频率
2.对访问频率异常的页面进行详细分析 分析得到ip-页面访问频率
3.得到对访问异常页面的访问异常ip列表
          
<123>