网站如何防御CC攻击？

bradley 2023年11月20日 13:29 116 0

上一篇文章我们已经讲过了什么是CC工具，那么常规我们面临到这样的攻击的时候应该怎么办呢？

目前微雨云SEO网站使用的方法是：付费CDN+宝塔自带的CC防御，使用效果尚△可。

无视cc防护方法

若想要用户自己解决，主要就是提高主机处理性能，增加更◎多带宽，修改或者关闭在log里出现大量相同访问文件的页面。处】理效果很一般，有时没什么效果，借助第∩三方工具 .使用软件冰盾等软件防火墙关闭代理∞访问，限制80端口同一ip的并发链接数◥; 使用包分析软件对数据包里存在 FORWARDED_FOR 等关词进行过滤，把ip暂进加到黑█名单中。有一定效果◣。攻击量大量也会影响访问效率。

一般cc攻击都是针对网站的域名进行攻击，比如网站域≡名是“xxx”，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻↘击。

对于这样的攻击措施是在ⅡS上取消这个域名的绑定，让CC攻击失去〇目标。具体操作步骤是：打开“ⅡS管理器”定位到具体站点右键“属性”打开该●站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编辑，将“主机头值”删除或者改为其它的╳值（域名）。

实例模拟测试ξ，取消域名绑定后Web服务器的CPU马上①恢复正常状态，通过IP进行访问连接一切正♀常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了★不便，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击『者发现之后，他也会对新域名实施攻击。

1、域名欺骗解析

如果发现针↘对域名的CC攻击，可以把被攻击的↘域名解析到127.0.0.1这个地址上。知道127.0.0.1是㊣本地回环IP是用》来进行网络测试的，如果把「被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理←也会宕机，让其自作自受。另外，当Web服务器遭受CC攻击时把被攻击的域名解⊙析到国家有权威的政府网站或者是网警的网站，让其网警来收拾╱他们。现在一般的Web站点都是利用类似“新网”这样的服务商提〒供的动态域名解析服务，大家可以登录进去之后进行设置。

2、更改Web端口

一般情况下Web服务☆器通过80端口对外』提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我〓们可以修改Web端口达到防CC攻击的目的。运行ⅡS管理器，定位到相应↘站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我∏们修改为其他的端口就可以了。

3、ⅡS屏蔽IP

我们通过命令或在查看日志发现了CC攻击的源IP，就可以在ⅡS中设置屏蔽该IP对Web站点的访▲问，从而达到防范ⅡS攻击的目的。在相●应站点的“属性”面板中，点击“目录安全性”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口〓中我们可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该ξ　IP对于Web的访问。

4、IPSec封锁

IPSec是优秀的系统防火墙，在排除其他还有别的类型的卐DDOS攻击时，针对CC攻击【可以用设置IP策略来对付攻击。以219.128.*.43这个IP为例子，笔者实际操作对◇该IP的访问封锁。

第一步：“开始→管理工具”，打开“本地安全设置”，右键点击“IP安全策略，在本地︼机器”选择“创建IP安全策略”，然后点击“下一步”，输入策略“名称”和“描述”。然后默认⌒一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。

第二步：右键点击“IP安全策略，在本地机器”选择“管理IP筛选器表和筛Ψ 选器操作”，在打开的窗口中点“添加”，在“IP 筛选器列表”窗口添人同第一步的名称和描述信息。取消“使用添加向导”的勾选，然后点击“添加”。在“IP 筛选器属性”窗口的“地址”选项⊙下设置“源地址”为“192.168.1.6”，目标⊙地址为“我的IP地址”，取消对“镜像”的勾选；点击“协议”选项卡，设置“协议类型”为“TCP”，设置“协议端口”为“从任意端口”到“此端口80”最后确定退∞出。

第三步：在“新规则属性”窗口中点选刚才创建的“封CC攻击”规则，点击“筛选器操作”选项卡下→的“添加”，点选“安全措施”下的“阻止”，在“常规”选项卡下为该筛选器命♀名为“阻止CC攻击”然后确定退出。

第四步：点选刚才创建的“阻止CC攻击”筛选器，一路“确定”退出IP策略编Ψ辑器，可以看到在组策略窗口的○中创建成功一个名为“封CC攻击”的策略，然后右键点︽击该策略选择“指派”。这样就实现了对该IP的封锁。