栏目导航: 首页 > 检测提权 > 拒绝服务 > 内容

粗暴的CC攻击——HTTP Flood

www.hx99.net    时间: 2015-02-03    阅读: 次     整理: 华西安全网

 HTTP Flood是针对Web服务在第七层协议发起的攻击。

危害性:

攻击方式简单、防御过滤困难、主机影响巨大

攻击方式:

HTTP Flood攻击并不需要控制大批的肉鸡,取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理,攻击者通过匿名代理对攻击目标发起HTTP请求。伪装成正常的用户进行站点的请求,通过巨大的连接数来消耗站点资源。

攻击资源:

匿名代理是一种比较丰富的资源,花几天时间获取代理并不是难事,因此攻击容易发起而且可以长期高强度的持续。

攻击影响:

HTTP Flood攻击在应用层发起,模拟正常用户的请求行为,与网站业务紧密相关,并没有统一的防御方法可以抵御,过滤规则编写不正确可能会误杀一大批用户。HTTP Flood攻击会引起严重的连锁反应,当前端不断没请求而且附带大量的数据库操作时,不仅是直接导致被攻击的Web前端响应缓慢,还间接的攻击到后端服务器程序,例如数据库程序。增大它们的压力,严重的情况下可造成数据库卡死,崩溃。甚至对相关的主机,例如日志存储服务器、图片服务器都带来影响。

CC攻击:

HTTP Flood的别称叫做CC攻击。CC是Challenge Collapsar的缩写,而Collapsar是国内一家著名安全公司的DDoS防御设备。

HTTP Flood攻击的重点在于突破前端的cache,通过HTTP头中的字段设置直接到达Web Server本身。

HTTP Flood对目标的选取也非常关键,一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标,可以消耗服务器尽可能多的资源。攻击时尽量选择正常用户也通过APP访问的页面,一般来说就是各种Web API。正常用户和恶意流量都是来源于APP,人机差别很小,基本融为一体难以区分。

脚本编写思路:

一、通过网上的代理发布站获取足够多的代理。

获取代理:

1、  代理超人、花刺代理之类的软件(包括本软件在内),都是去一些代理发布站采集。

2、  一些代理发布站是采集其他代理发布站的信息(采集国内、国外更大的代理发布站),导致这些信息重复率会很高。

3、  还有一些呢,是在大带宽服务器上扫描海量IP的端口,例如:8080,80,3128 等,判断是否是代理协议,然后在进行验证,这种方法获取的代理质量比较高,属第一手资料……

二、验证代理的可用性,不然只是浪费主机的主机资源。

三、代理请求,发动攻击。

后话

上周要做一个压力测试,但是竟然没有趁手的兵器,导致测试不很理想,所以自己编写了一个测试工具。

注意事项:

通过自己这几天完成的情况来看,需要注意一些地方。

CC测试工具,不建议无限制的发包,timeout设置的很低是没有意义的,只会让自己的主机CPU使用率抬的太高而卡死,请求断开了服务端会直接无视这个请求。直接完成连接获取数据即可。

GET请求方式需要添加随机参数值,不管是原始的参数随机,还是自定义一个random参数都是很有必要的,可跨过一些cache。

HTTP头一定要自定义,useragent设置成正常值,或者是搜索引擎。Regerer一定要设置,毕竟日志记录的就那么几条信息。

使用python建议使用多进程配合多线程的方法来进行,可以最大化的避免GIL锁导致主机CPU无法有效利用。

写成分布式是最理想的状态,通过在线程序爬取代理地址,通过请求访问获取资源,通过B/S模式来控制命令,简单实用效果明显。

负载查询命令:

以apache为例子

1、查看当前并发访问数:

netstat -an | grep ESTABLISHED | wc -l

对比httpd.conf中MaxClients的数字差距多少。

2、查看有多少个进程数:

ps aux|grep httpd|wc –l

3、可以使用如下参数查看数据

ps -ef|grep httpd|wc -l1388

统计httpd进程数,连个请求会启动一个进程,使用于Apache服务器。

表示Apache能够处理1388个并发请求,这个值Apache可根据负载情况自动调整。

netstat -nat|grep -i "80"|wc –l

脚本:

虽然脚本挺简单的,不过暂时不会放出来,因为要用来做压力测试的。少年自己写吧!

后话:

有些东西真的要自己去写了才知道里面的问题,这次选择了python来完成。使用了多进程配合多线程的方式来完成,另外使用了request这个模块,感觉好用萌萌哒。其中碰到线程传参,线程池和进程池的控制,以及参数的序列化等问题,通过各种手段解决真是非常的开心。后期测试的时候,使用2百个代理将许多朋友的博客都C停了,感觉效果还是不错的。

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭