***者借助代理服務(wù)器生成指向受害主機(jī)的合法請求，實(shí)現(xiàn)DDOS,和偽裝就叫：cc(ChallengeCollapsar)

• 名稱起源

CC = Challenge Collapsar，意為“挑戰(zhàn)黑洞”，其前身名為Fatboy***，是利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務(wù)的目的。業(yè)界賦予這種***名稱為 CC（Challenge Collapsar，挑戰(zhàn)黑洞），是由于在DDOS***發(fā)展前期，絕大部分都能被業(yè)界知名的“黑洞”（Collapsar）抗拒絕服務(wù)***系統(tǒng)所防護(hù)，于 是在***們研究出一種新型的針對http的DDOS***后，即命名Challenge Collapsar，聲稱黑洞設(shè)備無法防御，后來大家就延用CC這個(gè)名稱至今。有趣的是，黑洞（現(xiàn)改名為ADS）后來也能全面防御CC***，但這個(gè)段子中 的***較量仍然被傳為一段佳話。

CC***是DDOS（分布式拒絕服務(wù)）的一種，相比其它的DDOS***CC似乎更有技術(shù)含量一些。這種***你見不到真實(shí)源IP，見不到特別大的異常流量， 但造成服務(wù)器無法進(jìn)行正常連接。最讓站長們憂慮的是這種***技術(shù)含量低，利用更換IP代理工具和一些IP代理一個(gè)初、中級的電腦水平的用戶就能夠?qū)嵤┕?擊。因此，大家有必要了解CC***的原理及如果發(fā)現(xiàn)CC***和對其的防范措施。

• 服務(wù)器處理

假設(shè)服務(wù)器A 對Search.asp的處理時(shí)間需要0.01S(多線程只是時(shí)間分割,對結(jié)論沒有影響),也就是說他一秒可以保證100個(gè)用戶的Search請求,服務(wù) 器允許的最大連接時(shí)間為60s,那么使用CC模擬120個(gè)用戶并發(fā)連接,那么經(jīng)過 1分鐘,服務(wù)器的被請求了7200次,處理了6000次,于是剩下了1200個(gè)并發(fā)連接沒有被處理.有的朋友會說:丟連接!丟連接!問題是服務(wù)器是按先來 后到的順序丟的,這1200個(gè)是在最后10秒的時(shí)候發(fā)起的,想丟?!還早,經(jīng)過計(jì)算,服務(wù)器滿負(fù)開始丟連接的時(shí)候,應(yīng)該是有7200個(gè)并發(fā)連接存在隊(duì)列, 然后服務(wù)器開始120個(gè)/秒的丟連接,發(fā)動的連接也是120個(gè)/秒,服務(wù)器永遠(yuǎn)有處理不完的連接,服務(wù)器的CPU 100%并長時(shí)間保持,然后丟連接的60秒服務(wù)器也判斷處理不過來了,新的連接也處理不了,這樣服務(wù)器達(dá)到了超級繁忙狀態(tài).

假設(shè)服務(wù)器處理Search只用了0.01S,也就是10毫秒(這個(gè)速度你可以去各個(gè)有開放時(shí)間顯示的論壇看看),使用的線程也只有120,很多服務(wù)器的 丟連接時(shí)間遠(yuǎn)比60S長,使用線程遠(yuǎn)比120多,可以想象可怕了吧,而且客戶機(jī)只要發(fā)送了斷開,連接的保持是代理做的,而且當(dāng)服務(wù)器收到SQL請求,肯定 會進(jìn)入隊(duì)列,不論連接是否已經(jīng)斷開,而且服務(wù)器是并發(fā)的,不是順序執(zhí)行,這樣使得更多的請求進(jìn)入內(nèi)存請求,對服務(wù)器負(fù)擔(dān)更大

• CC***原理

CC***的原理就是***者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給 對方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰。CC主要是用來***頁面的，每個(gè)人都有這樣的體驗(yàn)：當(dāng)一個(gè)網(wǎng)頁訪問的人數(shù)特別多的時(shí)候，打開網(wǎng)頁就慢 了，CC就是模擬多個(gè)用戶（多少線程就是多少用戶）不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作（就是需要大量CPU時(shí)間）的頁面，造成服務(wù)器資源的浪費(fèi)，CPU 長時(shí)間處于100%，永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞，正常的訪問被中止。

• CC***癥狀

一般遭受CC***時(shí)，Web服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象， 因?yàn)檫@個(gè)端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了?？梢酝ㄟ^在命令行下輸入命令netstat -an來查看，　“SYN_RECEIVED”是TCP連接狀態(tài)標(biāo)志，意思是“正在處于連接的初始同步狀態(tài) ”，表明無法建立握手應(yīng)答處于等待狀態(tài)。這就是***的特征，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的***。

• CC***的防范

CC***可以歸為DDoS***的一種。他們之間的原理都是一樣的，即發(fā)送大量的請求數(shù)據(jù)來導(dǎo)致服務(wù)器拒絕服務(wù)，是一種連接***。CC***又可分為代理CC***，和肉雞CC***。代理CC***是***借助代理服務(wù)器生成指向受害主機(jī)的合法網(wǎng)頁請求，實(shí)現(xiàn)DDoS，和偽裝就叫：cc（Challenge Collapsar）。而肉雞CC***是***使用CC***軟件，控制大量肉雞，發(fā)動***，相比來后者比前者更難防御。因?yàn)槿怆u可以模擬正常用戶訪問網(wǎng)站的請求。偽造成合法數(shù)據(jù)包。

一個(gè)靜態(tài)頁面不 需要服務(wù)器多少資源，甚至可以說直接從內(nèi)存中讀出來發(fā)給你就可以了，但是論壇之類的動態(tài)網(wǎng)站就不一樣了，我看一個(gè)帖子，系統(tǒng)需要到數(shù)據(jù)庫中判斷我是否有讀 帖子的權(quán)限，如果有，就讀出帖子里面的內(nèi)容，顯示出來——這里至少訪問了2次數(shù)據(jù)庫，如果數(shù)據(jù)庫的體積有200MB大小，系統(tǒng)很可能就要在這200MB大 小的數(shù)據(jù)空間搜索一遍，這需要多少的CPU資源和時(shí)間？如果我是查找一個(gè)關(guān)鍵字，那么時(shí)間更加可觀，因?yàn)榍懊娴乃阉骺梢韵薅ㄔ谝粋€(gè)很小的范圍內(nèi)，比如用戶權(quán)限只查用戶表，帖子內(nèi)容只查帖子表，而且查到就可以馬上停止查詢，而搜索肯定會對所有的數(shù)據(jù)進(jìn)行一次判斷，消耗的時(shí)間是相當(dāng)?shù)拇?/span>

CC***就是充分利用了這個(gè)特點(diǎn)，模擬多個(gè)用戶（多少線程就是多少用戶）不停的進(jìn)行訪問（訪問那些需要大量數(shù)據(jù)操作，就是需要大量CPU時(shí)間的頁面，比如 asp/php/jsp/cgi）。很多朋友問到，為什么要使用代理呢？因?yàn)榇砜梢杂行У仉[藏自己的身份，也可以繞開所有的防火墻，因?yàn)榛旧纤械姆?火墻都會檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認(rèn)為是Connection-Flood。當(dāng)然也可以使用肉雞發(fā)動CC***。肉雞的CC***效果更可觀。致使服務(wù)器CPU%100，甚至死機(jī)的現(xiàn)象。

使用代理***還能很好的保持連接，這里發(fā)送了數(shù)據(jù)，代理轉(zhuǎn)發(fā)給對方服務(wù)器，就可以馬上斷開，代理還會繼續(xù)保持著和對方連接（我知道的記錄是有人利用2000個(gè)代理產(chǎn)生了35萬并發(fā)連接）。

當(dāng)然，CC也可以利用這里方法對FTP、游戲端口、聊天房間等進(jìn)行***，也可以實(shí)現(xiàn)TCP-FLOOD，這些都是經(jīng)過測試有效的。

防御CC***可以通過多種方法，禁止網(wǎng)站代理訪問，盡量將網(wǎng)站做成靜態(tài)頁面，限制連接數(shù)量，修改最大超時(shí)時(shí)間等。

轉(zhuǎn)載于:https://blog.51cto.com/kaibinyuan/1618905

總結(jié)

以上是生活随笔為你收集整理的CC***的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。