CC攻击,英文全称ChallengeCollapsar (中文译为:挑战黑洞) 史上最臭名昭著,同时也是服务器运维人员最难防范的网络攻击方式之一。从其诞生之日起,CC攻击因其便捷,有效,快速攻击等特点被全球黑客所喜爱,进而频繁使用,以至于发展成为全球服务器安全厂商的产品防护标准。
但是这个破坏力极强的攻击方式,背后却有一个鲜为人知的曲折故事……
CC的前世今生
十年前,也就是2004,KiKi同学毕业后满怀憧憬的去国内某知名安全企业面试,稚嫩的KiKi没有多少面试经验,临场发挥不佳,被拒之门外,之后感觉十分懊恼,自己的价值被严重低估,因此希望通过技术来证明自己。
在脑海中寻思一圈,灵机一动,找到思路,该企业有一款抗拒绝服务的产品,名为黑洞(英文译为 Collapsar ),当时在国内号称业界最强。那个年代圈内主要的分不是拒绝攻击比较简单,主要是利用syn ack等三次握手的海量畸形数据包来完成,黑洞能够识别这些数据包,并且可以按照规则进行过滤。
KiKi一咬牙说:我来挑战一下黑洞吧,于是Challenge Collapsar即后来的CC攻击器呱呱坠地了(中文译为:挑战黑洞)。
CC的第一个版本相对比较简单,当时KiKi在20cn网络安全小组中是一名活跃用户,他当时将这第一个版本放出来以后,并没有特别好的反应,因为执行效率不高,功能也并不完善,时常还会出现崩溃的情况,毕竟是短时间做出来的东西。KiKi本身也没有常年开发的经验,所以CC1.0不是特别好用,但是利用代理进行反射攻击的效果已经初露端倪了,这时群里的Tommy Chen和Wu Xiu发现了这个好玩的东西,本身和KiKi也会时常交流,Tommy Chen那时是深圳某企业的研发工程师,编码功力深厚,对KiKi进行指导,给了KiKi很大的帮助,后来KiKi干脆将源码开放给了Tommy Chen,在他的帮助下bug已经得到了修复,并且在使用上也提供了很多建议,例如增加url结尾的参数自动变化,增加了代理列表的统计,计数等功能。
Wu Xiu是北京一家安全公司的工程师,也是安全小组成员,他对CC的每一个版本都进行了详细的测试,包括效果,稳定性,也提出了许多改进的建议,直到CC2.0的出现,大家基本认为打垮黑洞完全没有问题,开始在群里进行相互交流。
很多群里的人都测试了这款应用级的拒绝服务工具,大家相继测试后发现效果出乎意料的强大,甚至有点超过KiKi自身想像,在2004年,宽带基本在1M,免费的代理资源非常多,例如代理中国,每天都会更新上万个新鲜的代理,网友自己用代理猎手也可以自行扫描出很多,CC正好利用这一免费资源,使用soke代理,仅用1台台式机,挂上1000个代理,就可以将一个门户级的网站打垮,黑洞彻底实效。
因为CC所发出的都是正常的访问包,Tommy Chen和Wu Xiu都对这种结果感到目瞪口呆,他们甚至预言,这个CC可能是互联网一个巨大的威胁,未来这个CC可能会成为安全防护产品的一个性能参数,果然这个预言在今天实现了,而KiKi对这个工具的诞生表示了担忧,害怕这个这个工具会带来严重的影响,当时并没有大量流传,便停止了CC开发,半年后KiKi选择了国外留学,所以目前CC的版本依然是2.0。
十年过去了,全世界服务器运维人员每每被CC攻击困扰时,你们是否知道到CC攻击是一个面试被拒大学生赌气开发出来的工具呢 ?
CC攻击来了
前段时间上海一家游戏娱乐公司的网站遭到了基于页面请求的分布式拒绝服务攻击,网站陷入完全瘫痪状态,并被黑客的匿名信勒索,金额高达*****元,而在勒索过程中,这群黑客还表示会对腾讯QQ等网站下手,随后QQ“服务器维护”几天。
12月5日,全球BitTorrent服务器也受到了很强烈的攻击,一度陷入瘫痪。而分布式拒绝服务攻击中最流行的也是威力最大的就是基于网站的CC攻击以及将这个攻击理论发挥得淋漓尽致的攻击工具CC攻击器。
很多朋友都知道木桶理论,一桶水的最大容量不是由它最高的地方决定的,而是由它最低的地方决定,服务器也是一样,服务器的安全性也是由它最脆弱的地方决定的,最脆弱的地方有多危险服务器就有多危险。
CC攻击也是一样,只要你的服务器存在一个很耗资源的地方,**又不够,就马上成为别人攻击的对象. 比如CC攻击器,它就是利用服务器的半连接状态比完全连接状态更耗资源,而攻击发动方只需要不停的发包,根本不需要多少资源。
一个好的攻击必须是通过自己极少资源的消耗带来对方较大的资源消耗,否则比如对方服务器消耗多少资源自己也得赔上多少资源,效率极其低下,又很容易被人发现,现在基本没有什么人用了。
CC攻击原理
CC主要是用来攻击网站的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢。一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,现在知道为什么很多空间服务商都说大家不要上传论坛,聊天室等东西了吧。
可能很多朋友还不能很好的理解,我来描述一下吧.我们假设服务器A对搜索请求的处理时间需要0.01秒,也就是说他一秒可以保证100个用户的搜索请求,服务器允许的最大连接时间为60秒,那么我们使用CC模拟120个用户并发连接,那么经过1分钟,服务器的被请求了7200次,处理了6000次,于是剩下了1200个并发连接没有被处理.有的朋友会说:丢连接! 问题是服务器是按先来后到的顺序丢的,这1200个是在最后10秒的时候发起的,想丢?! 还早,经过计算,服务器满负开始丢连接的时候,应该是有7200个并发连接存在队列,然后服务器开始120个/秒的丢连接,我们发动的连接也是120个/秒,服务器永远有处理不完的连接,服务器的CPU 100%并长时间保持,然后丢连接的60秒服务器也判断处理不过来了,新的连接也处理不了,这样服务器达到了超级繁忙状态。
CC攻击防护
从原理上看,基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。但如果IP的数量足够大,使得单个IP的连接数较少,那么防火墙未必能阻止CC攻击,最有效的方法还是在服务器端通过程序自动屏蔽来预防。
TOP
