针对web服务的CC攻击防护方案

云南数据港CC攻击解决方案网址：–an–ptcp|find“:80”(1).取消域名绑定一般cc攻击都是针对网站的域名进行攻击，比如网站域名是“xxx”，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。对于这样的攻击我们的措施是在IIS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开“IIS管理器”定位到具体站点右键“属性”打开该站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编辑，将“主机头值”删除或者改为其它的值(域名)。实例模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不变，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。(2).域名欺骗解析如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。(3).更改Web端口一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的端口就可以了。(4).IIS屏蔽IP我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的“属性”面板中，点击“目录安全性”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该IP对于Web的访问。(5).IPSec封锁IPSec是优秀的系统防火墙，在排除其他还有别的类型的DDOS攻击时，针对CC攻击可以用设置IP策略来对付攻击。以219.128.*.43这个IP为例子，笔者实际操作对该IP的访问封锁。第一步：“开始→管理工具”，打开“本地安全设置”，右键点击“IP安全策略，在本地机器”选择“创建IP安全策略”，然后点击“下一步”，输入策略“名称”和“描述”。然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。第二步：右键点击“IP安全策略，在本地机器”选择“管理IP筛选器表和筛选器操作”，在打开的窗口中点“添加”，在“IP筛选器列表”窗口添人同第一步的名称和描述信息。取消“使用添加向导”的勾选，然后点击“添加”。在“IP筛选器属性”窗口的“地址”选项下设置“源地址”为“192.168.1.6”，目标地址为“我的IP地址”，取消对“镜像”的勾选;点击“协议”选项卡，设置“协议类型”为“TCP”，设置“协议端口”为“从任意端口”到“此端口80”最后确定退出。第三步：在“新规则属性”窗口中点选刚才创建的“封CC攻击”规则，点击“筛选器操作”选项卡下的“添加”，点选“安全措施”下的“阻止”，在“常规”选项卡下为该筛选器命名为“阻止CC攻击”然后确定退出。第四步：点选刚才创建的“阻止CC攻击”筛选器，一路“确定”退出IP策略编辑器，可以看到在组策略窗口的中创建成功一个名为“封CC攻击”的策略，然后右键点击该策略选择“指派”。这样就实现了对该IP的封锁。(6).防火墙除了利用上述方法外，还可以通过第三方的防火墙进行防范，打开防护墙防火墙可以了，笔者以天鹰ddos防火墙为例进行演示。安装好天鹰ddos防火墙即可开启防护，傻瓜式配置界面，默认参数即可防护网站，误封较少，智能识别蜘蛛。主要推荐方案一：防cc的软件网站安全狗：（效果已经测试过好几十台，效果最好）防护效果说明：在攻击流量小于服务器/vps带宽的情况下使用，具有比较好的效果；在攻击流量大于服务器/vps带宽的情况下，此方案防护意义不大；此方案需要使用到软件：服务器安全狗+网站安全狗软件下载地址：软件都是免费使用服务器安全狗配置，必须开启ddos防火墙网站安全狗配置：如下图注：里面的单IP允许访问的最大次数、单ip允许发帖的最大次数可以根据攻击频率调整因为最新发现cc攻击可以设置攻击的频率！其他配置，默认设置即可参考资料：主要推荐方案二：傲盾抗拒绝服务系统v7.0（测试过，效果还行）防护效果说明：在攻击流量小于服务器/vps带宽的情况下使用，具有比较好的效果；在攻击流量大于服务器/vps带宽的情况下，此方案防护意义不大；傲盾防火墙防护配置：推荐方案三：云盾下载地址：注：全功能持续防护2小时，之后防火墙将失去保护功能，重启机器可继续防护。若需要无限制防护，请注册为正式版其他方案四：少量ddos、cc攻击的防护软件冰盾（效果很差）防护效果说明：在攻击流量小于服务器/vps带宽的情况下使用，具有比较好的效果；如果8.2破解版的效果不行，可以考虑使用冰盾官方的版本；在攻击流量大于服务器/vps带宽的情况下，此方案防护意义不大；安装方法很简单，先安装主文件，提示重启，选择否，然后安装破解补丁，再重启，OK安装之后配置：注：如果此破解版本不行，可以到官方下载最新版，可以使用2小时，看效果，如果很好，可以付费买。cc大流量的攻击防护方案防护效果说明：当小量的cc防护有效果之后，攻击的人可能购买肉鸡，增加攻击流量，导致此情况；在攻击流量大于服务器/vps带宽的情况下使用，效果很好，但是费用较高；技术手法：Cdn防护前提：必须得定位到攻击的域名；可以在这个网站上注册一个用户，使用它们的免费cdn，看看防护效果如何，如果防护可以，可以考虑长久购买！价格每月10元左右！具体使用方法网站上有详细的说明，在此不陈述！