兩次宕機，四次CPU飆升，沒有高防的IP竟這麼脆！

DDoS的中文名稱是「分散式拒絕服務」，拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網路資源的訪問，從而達成攻擊者不可告人的目的。分散式拒絕服務攻擊一旦被實施，攻擊網路包就會從很多DOS攻擊源(俗稱肉雞)猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源，因此，拒絕服務攻擊又被稱之為「洪水式攻擊」，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood等。

作為DDoS界的翹楚，CC攻擊絕對可以稱得上是讓眾多網站運營者夜不能寐的罪魁禍首之一，這是因為與其他的DDoS攻擊手段相比，對CC攻擊的防禦要困難得多得多，原因在於這種攻擊——「特別會玩躲貓貓」。攻擊者並非是直接攻擊受害主機，而是通過代理伺服器或者「肉雞」向受害主機不停地發送大量的真實數據包，但若是從流量上進行查看，運營者可能跟本能意識不到自己遭受到了攻擊，因為CC攻擊並不一定會產生特別大的異常流量，只有網站伺服器的連接數大量升高，而且這些連接的請求IP都是真實且分散的，真正的攻擊發起者的IP卻隱藏在幕後。在此種隱蔽的攻擊之下，伺服器最終只有資源耗盡，乃至宕機崩潰這一結局。

然而這種聽上去比其他DDoS攻擊「更有技術含量一些」的攻擊方式，實際地完成起來並沒有想像中的那樣困難，只需要「一個更換IP代理的工具+一些IP代理+一點初、中級的電腦水平」就能夠實施。

互聯網江湖上流傳著多種抵禦CC攻擊的方法，包括「利用Session做訪問計數器」、「把網站做成靜態頁面」、「增強操作系統的TCP/IP棧」、「 嚴格限制每一個站允許的IP連接數和CPU使用時間」等。

然而事實證明，對於「洒洒水」般的CC攻擊，這些方法是能起到一定的作用，但是若是面對規模「稍微」大一點的攻擊，這些方法就只能統統靠邊站了。前不久，國內某網路攻防實驗室搞了一場攻擊測試，過程及結果如下：

攻擊前

IP狀態：無任何防護

流量、CPU和連接數情況：正常

埠情況：正常

web可用性：正常

SYN FLOOD攻擊

流量、CPU和連接數情況：

埠情況：無響應

web可用性：不可用

結果：網站撲街

GIF

ACK FLOOD攻擊

流量、CPU和連接數情況：

埠情況：響應變慢

web可用性：降低

結果：CPU使用率飆升，埠響應變慢

FIN FLOOD攻擊

流量、CPU和連接數情況：

埠情況：

web可用性：降低

結果：CPU使用率飆升

RST FLOOD攻擊

流量、CPU和連接數情況：

埠情況：響應變慢

web可用性：降低

結果：CPU使用率飆升，埠響應變慢

攻擊器- nping

流量、CPU和連接數情況：

埠情況：響應變慢

web可用性：降低

結果：CPU使用率飆升

攻擊器- GoldenEye

流量、CPU和連接數情況：

連接數最大1500，CPU上升

埠情況：無響應

web可用性：不可用

結果：網頁無法訪問,RDP中斷

結果分析

從測試結果可以看到，撤掉了防護的網站IP，無論是面對單一類型的flood攻擊還是專業的DDoS、CC攻擊工具都無法招架，網站無法平穩運行，輕者CPU飆升，重者宕機。尤其是CC攻擊，更是令人防不勝防。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！