防御流量攻击—SockStress CC攻击防护



            SockStress CC攻击正好与Syn-Flood攻击原理相反,它正是利用建立TCP/IP三次握手连

接来实现拒绝服务CC攻击,而且与Syn-Flood不同的是,不是耗尽服务器的TCP连接数来让正常

用户的正常请求无法响应,而是直接耗尽 Windows Linux服务器的内存、CPU等资源让网站服务

器宕机,属于CC资源消耗攻击,这种攻击方式的危害性非常大,而且一旦遭受分布式的CC攻击,

网站以及服务器都会直接瘫痪,给网站运营造成巨大的经济损失。Sine安全公司是一家专注于:

服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服

务提供商。
 
 
SOCKSTRESS的CC攻击原理
 
 
1.当服务器端维持连接达到一定数量之后,内存、CPU甚至是SWAP分区都会被耗尽,系统命令
 
不能正常执行,想要恢复服务器的唯一的办法就是断网,并重启服务器。
 
 
2.成功建立ESTABLISHED之后,攻击者会将数据包中window的值置为0(windows的意思代表
 
client这边一次可以接受的数据大小,置为0之后表示client没有windows来接受服务器端发
 
来的数据,然后服务器就会分配内存来维持TCP连接直到client有空闲的windows与之通信)
 
,然而攻击者可不会维持什么连接,他只会不断的请求TCP连接耗尽服务器的资源。
 
 
3.首先,攻击者大量请求建立三次握手连接
 
下面是流量攻击者向服务器发送的一个ACK包,window被置为了0了
 

 
流量攻击防护解决办法
 
对于SOCKSTRESS这种CC攻击方式我们可以设置防火墙规则,限制服务器在一定时间内与同一
 
个IP建立TCP连接的数量,这样即使有大量的连接发过来也不会对服务器有太大的影响,但是
 
这仅限于DoS,如果是DDoS流量攻击的话那么就只有升级服务器的性能了。Sine安全公司是一
 
家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一
 
体的网络安全服务提供商。
 
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set && 
 
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent  --update --
 
seconds 30 --hitcount 10 -j DROP

 
理解攻击原理才是防御流量攻击最好的方法。用黑客思维构建安全防线,知己知彼百战不殆
 
分享: