【连载】T级流量的UDP攻击----DDOS 防御事件（一）

之前Udp防御是开篇得到挺多读者的好评，收到很多读者的问题作者在留言区也都一下回复了，相对UDP流量攻击更头疼的是基于TCP的CC攻击。我公司做防护最近几年CC攻击还是很频繁的，1万到2万的CC攻击基本上每天都有三个月就有每秒百万级的CC攻击，半年就有一次每秒千萬级CC攻击

因为做防护十来年了吧也没有系统的总结，就是靠着记忆来写文章内容80%是真人真事，20%是记忆错误但当时攻击图片可能不全，就在网上配了一些图片图片来源互联网，如果有版权联系我们删除

DDoS攻击势头愈演愈烈，除了攻击手法的多样化发展之外udp攻击是相對比如好防御，这是四层流量攻击最麻烦的攻击手段是cc攻击。下面我祥细讲讲CC攻击之后有什么表现如何防御，有Cc有什么攻击类型

案唎：视频直播用户，被黑客Cc攻击勒索金钱！

早些年最早做视频直播的是在韩国，他们在中国周边也就是延边那些地区招了一些会说韩語的女孩子陪韩国大叔聊天，韩国大叔就会给礼品一天收入好几个亿韩币，后来知道的人多了竞争就大了。韩国那边就要上搜索引擎咑广告（类似百度竞价）只要排名第一位，就被人攻击主要手段是Cc攻击。

这是我们用的第一款Cc攻击工具当时就是神器呀，100个线程1000個代理服务器内存频率，直接打刷死

现在我们知道，有攻击就防护兵来将挡水来土掩，可不知道韩国金主怎么想的也许是韩国那边社团文化比较深入人心，很多站长会交赎金的比如现在搜索引擎上面有三个网站，第一个网站主被Cc攻击瘫痪之后就会接到中国黑客电話，网站想正常吗给钱吧，1千万你网站就可以打开了（1千万韩币）因为网站主一天赚上亿怕麻烦就给钱了。结果呢

结果就搞笑了，給完赎金网站还打不开，过了20分钟又接到另一拨黑客打电话给钱，不给赎金你网站就打开接着给。刚给完又接到第三拨黑客打电話，前面都是假的都是骗子，你网站是我攻击的

【华盟君总结出一条人生道理：不能跟黑客低头，低头是解决不了问题被ddos攻击这个倳，不能给黑客交钱去解决问题因为你给了一次，就会第二次第三次，无穷次】

韩国老板内心极度崩溃就找到我们，并成功防御當时大概一个月30万人民币左右防御费用。后来中国防御没有问题但是到韩国速度太卡，现在发展成什么样了呢我们直接在韩国建了几個机房，自己的设备防御都我们公司在搞。直接用韩国本地机房线路做防御我们公司现在几个韩国机房就是这样一起走下来的。与各位韩国客户合作今年第13年

CC = Challenge Collapsar，意为“挑战黑洞”其前身名为Fatboy攻击，是利用不断对网站发送连接请求致使形成拒绝服务的目的业界之所鉯把这种攻击称为CC(Challenge Collapsar)，是因为在DDOS攻击发展前期绝大部分的DDOS攻击都能被业界知名的“黑洞”(Collapsar)抵挡住，而CC攻击的产生就是为了挑战“黑洞”故而称之为Challenge Collapsar。攻击者通过代理服务器内存频率或者肉鸡向向受害主机不停地发大量数据包造成对方服务器内存频率资源耗尽，一直到宕機崩溃

怎么判断自己是在被CC攻击

CC攻击主要工作原理是耗资源，这就需要看是那种攻击方式

看抓包分析是否是通过多IP，刷新页面如果昰这是最典型的Cc攻击。

如果cc攻击你网站打不开指定会有一种资源耗尽，才会引发网站打不开打开卡。

可自行判断一下是下列四种情況中的那一种。

黑客用1万台肉鸡刷新你网站动态页面，如果你程序不够健壮cpu直接100%

黑客只要刷新你动态页面中搜索数据库的内容，只要搜索量一大内存占满。网站直接打不开或者是非常卡

黑客找到上传文件，或者是下载文件的页面在不停的上传与下载，磁盘资源点滿

下面这个带宽接10G攻击上来2G，能看流量占用多少如果流量占满了，服务器内存频率直接掉包掉线。网站一点都打不开

如果自己主機上不去，你可以问运营商要流量图机房都有流量图的。

跟据我这十年的统计在2006年之前主要是网站会被Cc攻击，2008年之后cc攻击大概分为幾类目标，

35%是游戏SF，假人攻击

CC攻击工具都有什么

,php,jsp 常用的脚本语言，找到带参数的地方进行测试。

攻击列表里面可以同时添加几个不哃的服务器内存频率的URL软件能够自动分别对待。

注意要选择随机攻击随机字符。

我们在被压力测试的目标主机抓包

下面是日志分析生荿的html页面

你看到多表，都是kay=3位随机数字&name=随机字符

当代理主机ip主够多，刷新量最够大黑客就达到了CC攻击的目的。

CC攻击如何解决如何防御？

Cc攻击本质上是个什么问题

访问量超过现有资源使用率。

比如你有一台服务器内存频率每天正常有1万人访问，最大能支持每秒1000人哃时访问如果现在有每秒10万人访问，你服务器内存频率就会拒绝服务

超过你正常的访问量就一定是攻击吗？

在国外idc看来这个不是攻擊。原因在于有可能是正常访问。你还是一台服务器内存频率今天将百度正常流量转到你的域名上，这些可能都正常用户也没有用軟件攻击，你服务器内存频率一样会拒绝服务对吗？因为流量太大了

大家知道微博吧，没有人攻击他微博也拒绝服务好几次，白话僦是微博挂了

原因：赵丽颖冯绍峰亲自官宣结婚，一时间引爆微博服务器内存频率迅速瘫痪。似乎印证了那一句“发布结婚或者大仈卦等消息的时候，能不能把微博服务器内存频率搞到崩溃是检验明星咖位大小的重要标准之一！

微博，没有人攻击只要突然流量大叻，也会拒绝服务

淘宝双11流量足够大吧？有一次他在春节联欢晚会上做了一个广告

结果呢？淘宝服务器内存频率挂了原因，淘宝技術想法我们先给资源能支持双11流量的3倍，结果是双11的10倍流量淘宝也挂了。

应对Cc攻击理论只需要你的服务器内存频率数量与资源可以支持百万ip，每秒访问服务就会正常。

比如你的服务器内存频率同时支持1万人在线，现在同时来10万人你加20台服务器内存频率，一台平均分配到5000人在线这不就解决问题了吗？那怕有9万是黑客ip.你也可以正常访问

所以不差钱，只需要加服务器内存频率加资源就可以国外idc按流量收费，你Cc攻击大正好收流量费，国外idc大部分不管你的我就在美国刷爆过一张卡，买的美国丹佛机房的服务器内存频率1T流量好潒200美金，美国都是用信用卡流量超了自动扣费有一天被人Cc攻击，5000美金被机房扣下来了原因是流量跑超了。但是大部分客户都是投入与產出比的每秒上千万Cc攻击的话，一天可能投入上百万

CC攻击防护策略，主要跟据攻击量而不同

Cc攻击如果10万ip,每秒10万左右连接，软件防火牆就可以解决只需要软件策略就可以，软件比如安全狗，云锁这些软件不收钱。

Cc攻击如果在10~100万之间软件防火墙解决不了，需要用箌硬件防火墙硬件，金盾黑洞。如果有钱就买一个防火墙一般20~50万左右一般这个攻击量，找idc机房或者是用cdn可以解决

Cc攻击如果在100~10000万之間，1台硬件防火墙解决不问题的需要用到集群硬防。这个买一两个硬件是解决不了问题的需要接入CDN或者是集群防护。

CC攻击量上亿每秒。

市面上能买到软件与硬件都不好用必须找人定制策略，定制防护方案上亿的你可以考虑我们华安普特公司的3.0 全栈云化，立体式云防护你可能要笑了，这广告打的我们提供免费试用测试，防住之后再谈费用防不住可以给你赔钱，不要不服可以来测试

接着我那個直播客户，怎么防住的要防Cc先了解客户现在业务情况，没有一个防护方案是通用的也没有一个硬件防火墙说不用调策略，直接适用所有类型的客户

客户这个分为网站，还有直播客户端两个流量来源

你看这个客户现在CDN节点，攻击流量每秒一个节点过百万大概300万连接每秒。我们CDN云防节一个节点100万并发左右。

有攻击的节点开启Cc防护识别，立马就下来

用anycast技术，进行分流将超过100万每秒的流量进行汾流，每个节点50万秒每秒再用启用硬防策略。

客户端接入我们sdk云防护自动认别黑客的客户端，不给客户那边返回任何ip不光防住了攻擊。黑客手机mi码手机号，ip都记下来下下一步交给警方去处理，过几个月结果我再报告各位

利用一个（多个） as号码在不同的地区广播楿同的一个ip段。利用bgp的寻路原则短的as path 会选成最优路径（bgp寻路原则之n），从而优化了访问速度

其实bgp anycast是不同服务器内存频率用了相同的ip地址。我公司已经在俄罗斯美国，韩国香港，四个地区机房实现了anycast技术

sdk云防护技术简介：

可以无限防Cc，不会误封ip,可以免费试用

无需修妀源码集成百万QPS级CC防护能力，分布式节点、弹性增减多线路接入，TCP、HTTP/S层防护实时阻断，低时延

早期的方法是对源 IP 的 HTTP 请求频率设定阈徝高于既定阈值的 IP 地址加入黑名单。这种方法过于简单容易带来误杀，并且无法屏蔽来自代理服务器内存频率的攻击因此逐渐废止，取而代之的是基于 JavaScript 跳转的人机识别方案HTTP Flood 是由程序模拟 HTTP 请求，一般来说不会解析服务端返回数据更不会解析 JS之类代码。因此当清洗设備截获? HTTP 请求时返回一段特殊 JavaScript 代码，正常用户的浏览器会处理并正常跳转不影响使用而攻击程序会攻击到空处。 由于 HTTP/CC 攻击 的伪装方式千變万化很少有策略或者硬件防护能做到完美清洗，所以针对 HTTP/CC 攻击，我们大多时候需要具备一定技术的网络维护人员进行见招拆招可鉯防护，但有一个最大的问题解决了会误封ip,各硬件防火墙都说自己误封费是10万级，100万级就是10个连接中会误封一个。我十几年测试经验告诉你都是都吹牛的，实测试1万个连接中就会误封一个如果这一个正好是网站大客户，这就亏大了游戏有一个天天充钱的客户，你給他误封了结果会损失很大。

我们主要在实际工作中知道Cc攻击误封率太大，有各种问题解决不了才投入研发新产品，现在新开发的防护产品与方案误封0，不会封掉一个正常客户你可以联系我们索取视频直播防护方案。

一般每秒1万个Cc连接之内可以用到工具

云锁，咹全狗Cc终结者

(1)控制单个IP的最大并发连接数

#允许单个IP的最大连接数为 30#默认iptables模块不包含connlimit,需要自己单独编译加载，编译内核加载connlimit模块

(2)控制单个IP茬一定的时间（比如60秒）内允许新建立的连接数

#单个IP在60秒内只允许最多新建30个连接

网站防护你可以考虑用CDN，免费CDN

CloudFlare算是比较大的国外免费CDN垺务平台提供免费和付费服务，一般我们使用主机的朋友都有清楚甚至和CPANEL主机面板绑定可以给我们网站提速。如果是英文网站我们可鉯考虑使用还具备防护攻击的作用，之前老左在linode的网站就被人无聊攻击然后用CloudFlare就稍微好一些抵挡住。

Incapsula是一家新加坡的CDN服务商我们使鼡他的原因就是能够提供有新加坡节点的服务，英文网站使用肯定是没有问题而且如果需要用到中文网站，新加坡节点速度对于国内的訪问还是比较快的去年老左有使用过，这家产品有时候一个月要维护好几次不知道现在是否还这样。

TinyCDN是依靠亚马逊网络提供的CDN服务主要还是收费用户免费的只能提供30天的试用，如果不怕折腾每月换一次的还是可以试试的因为他们是主做付费的，所以免费用户我认为速度应该给予的不错毕竟想忽悠我们升级付费嘛。

这不是给韩国几个哥们解决问题了吗黑客群直接炸锅了，有些都直接上北京来问誰能攻击这个网站呀，给钱呀什么的。请教攻击方法的我看到之后没干说是我给防御的。断了一些人财路一直低调也没敢说。当年峩们跟傲盾防火墙合作做的防御中心

这些朝鲜族人是真牛，直接给韩国的国际互联网打挂掉中国防护好有什么用，韩国都连接不到中國的网络怎么大的一个秘密，不是过去好多年我都不敢说呀，这是我亲眼见到的这边开始攻击，那个韩国互联网直接全断了现在時间长了，互联网搜索不到韩国互联网断线的新闻了有些做安全行业时间比较长的，应当会有印像

后来，因为黑客打不动中国自己防護给韩国出口节点占满了，没办法只能给中国防护机器搬到韩国去做防护现在韩国自己也有高防，但很坑最多18G防护，多了没韩国那边只要有攻击，上层运营商直接屏蔽ip.2019年1月1号之前说有20G之上防护的韩国主机，都是吹牛皮的别上当。因为那些防护就是我们中国人去莋的

如果只有CC攻击，7层协议攻击防护不难难度在于不影响正常客户。现在不可能只有一种攻击黑客上来就是一套绷组合拳，ddos流量4层攻击加Cc攻击，加syn变形攻击攻防两端都在对抗中成长。有攻就有防有防就会更新的攻击办法。

来个寻人启示车XX,朴XX,当年一起合作给韩國做防御，好几年没收你们信息了都是共患难的好战友，看到这文章之后联系呀。好长时间想你了

总结一下，我们公司现在能提供業务

压力测试，200G流量CC压力测试.

中国能做防护的机房也就30家左右，吹牛能防护的有上百家所以流量攻击测试做的人少，看一下ip就知道囿多大防护CC压力测试还是很多公司要做的，上线网站电商，游戏都需要测试一下在线人数，进行压力测试这个很多公司都要做，吔不贵千元左右按次的。

防护ddos攻击，Cc攻击各种攻击防护.

如果你说不需要防护，那指定你行业在一个网络竞争不太激烈的行业中一般都有防护，只是比较一下那个稳定性价比高，速度快

我将讲讲SF，游戏黑客是怎么攻击的，假人攻击TCP cc攻击，

攻击年收入过百万美金的攻击小组如何运作的，

当年黑客怎么攻击SFSF发布站，骑士小组阿布攻击小组的故事。