江蘇BGP機房(fáng)機櫃網站(zhàn)服務(wù)器(qì)如(rú)何抵禦HTTP/cc攻擊？江蘇BGP機房(fáng)機櫃網站(zhàn)服務(wù)器(qì)如(rú)何抵禦HTTP/cc攻擊？托管用戶的服務(wù)器(qì)最關(guān)心的是網絡攻擊。目前，最常見的攻擊是針對帶寬的。為(wèi)了(le)降低(dī)攻擊的影響，用戶必須不斷購(gòu)買帶寬來(lái)降低(dī)影響。事(shì)實上(shàng)，對于CC攻擊用戶，如(rú)果從源頭入手，可以有效地提高防護效果。CC攻擊是對第7層協議(yì)中的Web服務(wù)的攻擊。與其他三層和四層相比，攻擊者不需要控制大量的肉雞。相反，他們使用端口掃描器(qì)在互聯網上(shàng)搜索匿名HTTP或socks代理(lǐ)。攻擊者通過匿名代理(lǐ)向目标發送HTTP請求。匿名代理(lǐ)服務(wù)器(qì)廣泛存在于互聯網上(shàng)。因此，攻擊容易發動，并能(néng)保持長期高強度連續攻擊。它還可以隐藏攻擊者的來(lái)源以避免被跟蹤。下(xià)面就(jiù)讓微子(zǐ)網絡帶着大家一(yī)起來(lái)分(fēn)析一(yī)下(xià)。         

HTTP/cc攻擊的特點：    
      1、HTTP/cc攻擊的IP是真實的、分(fēn)布式的    
      2、HTTP/cc攻擊包正常    
      3、所有的http/cc攻擊請求都是有效的，不能(néng)被拒絕    
      4、Http/cc攻擊網頁。服務(wù)器(qì)可以連接，Ping正常，但(dàn)無法訪問網頁    
      5、如(rú)果打開IIS，服務(wù)器(qì)很快(kuài)就(jiù)會死掉，很容易丢失數據包    
      6、與DNS服務(wù)一(yī)樣，web服務(wù)也(yě)有緩存機制。如(rú)果攻擊者的大量請求命中服務(wù)器(qì)緩存，則此攻擊的主要作(zuò)用僅體(tǐ)現(xiàn)在網絡帶寬資源的消耗上(shàng)，這(zhè)對于計算(suàn)和IO資源的消耗是非常有限的。

因此，高效的http/cc攻擊應該不斷地發出針對不同資源和頁面的http請求，并嘗試請求無法緩存的資源（如(rú)關(guān)鍵字搜索結果、用戶相關(guān)信息等），從而更好(hǎo)(hǎo)地增加服務(wù)器(qì)的負擔，達到理(lǐ)想的攻擊效果。
      
當然，http/cc攻擊也(yě)會引起嚴重的連鎖反應，這(zhè)不僅會直接導緻Web前端攻擊響應緩慢(màn)，還會間(jiān)接攻擊後端Java等業務(wù)層邏輯和更多的後端數據庫服務(wù)，增加其壓力。HTTP/cc攻擊産生(shēng)的海量日志數據甚至會影響日志存儲服務(wù)器(qì)。如(rú)果web服務(wù)器(qì)支持HTTPS，則HTTPS洪水攻擊是一(yī)種更有效的方式。有兩個(gè)原因。首先，當與HTTPS通信時(shí)，web服務(wù)器(qì)需要消耗更多的資源來(lái)進行身(shēn)份驗證和加密。其次，目前一(yī)些(xiē)保護設備無法處理(lǐ)HTTPS通信數據流，導緻攻擊流量繞過保護設備直接攻擊web服務(wù)器(qì)。         

江蘇BGP機房(fáng)機櫃網站(zhàn)服務(wù)器(qì)如(rú)何抵禦HTTP/cc攻擊？HTTP/cc攻擊的防禦主要是通過緩存來(lái)實現(xiàn)的，後台業務(wù)盡可能(néng)的受到設備緩存直接返回結果的保護。當高級攻擊者侵入緩存時(shí)，清理(lǐ)設備将攔截HTTP請求以進行特殊處理(lǐ)。早期的方法是為(wèi)源IP的HTTP請求頻率設置一(yī)個(gè)阈值，并将高于該阈值的IP地址添加到黑名單中。這(zhè)種方法過于簡單，容易造成誤殺，且無法屏蔽代理(lǐ)服務(wù)器(qì)的攻擊，因此逐漸被廢除，取而代之的是一(yī)種基于JavaScript跳(tiào)轉的人(rén)機識别方案。 HTTP flood是一(yī)個(gè)模拟HTTP請求的程序。一(yī)般來(lái)說(shuō)，它不解析服務(wù)器(qì)返回的數據，也(yě)不解析JS等代碼。因此，當清理(lǐ)設備截獲HTTP請求時(shí)，它會返回一(yī)個(gè)特殊的JavaScript代碼。正常用戶的浏覽器(qì)将在不影響使用的情況下(xià)正常地處理(lǐ)和跳(tiào)轉，攻擊者将攻擊空白空間(jiān)。 由于HTTP/cc攻擊的僞裝是千變萬化(huà)的，很少有策略或硬件保護能(néng)達到完美的清除。因此，對于HTTP/cc攻擊，我們需要具有一(yī)定技術的網絡維護人(rén)員(yuán)在大多數情況下(xià)進行開放(fàng)調用和開放(fàng)調用。 

以上(shàng)就(jiù)是微子(zǐ)網絡為(wèi)大家分(fēn)析的江蘇BGP機房(fáng)機櫃網站(zhàn)服務(wù)器(qì)如(rú)何抵禦HTTP/cc攻擊的問題，希望能(néng)夠對大家有所幫助。微子(zǐ)網絡的服務(wù)器(qì)雲虛拟主機空間(jiān)租用、快(kuài)速部署、多種線路(lù)可選、支持分(fēn)片專用線、 T級帶寬，可為(wèi)各類客戶提供更優質的 IDC服務(wù)。微子(zǐ)網絡是一(yī)家專注于服務(wù)器(qì)以及機櫃租用托管的IDC服務(wù)供應商(shāng)，十餘年行業經驗積澱，安全穩定、可靠放(fàng)心，是國内IDC行業的領軍企業，協助萬千企業達成網絡信息化(huà)，7*24小時(shí)人(rén)工服務(wù)，售後無憂，有口皆碑。 

江蘇BGP機房(fáng)：www.vzidc.com