CC***全称Challenge Collapsar,中文意思是挑战黑洞,因为以前的抵抗DDoS***的安全设备叫黑洞,顾名思义挑战黑洞就是说黑洞拿这种***没办法,CC***的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。
DDoS全称:分布式拒绝服务(DDoS:Distributed Denial of Service)。信息安全的三要素——“保密性”、“完整性”和“可用性”中,拒绝服务***,针对的目标正是“可用性”。该***方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务,***者进行拒绝服务***,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
那么,我们如何有效安全的抵御CC***和DDOS***呢?
DDOS***防御:
1、过滤不必要的服务器和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。
2、异常流量清洗过滤
通过DDoS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。
3、分布式集体防御
这是目前网络安全界防御大规模DDoS***的最有效办法。如一个节点受***无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将***者的数据包全部返回发送点,使***源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
4、高防只能DNS解析
高智能DNS解析系统与DDoS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。同时还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。
CC***防御:
1、注册表修改法
对比较小的CC***有一定的作用,但对大量的***就难以防御,最终导致服务器死机,网络中断
2、域名欺骗解析法
虽然可以防御CC***,但是正常流量的访问也无法访问,无法正常使用,跟你直接把网站关闭了没什么区别,所以是不可取的。
3、采用防火请
国内现在有各种各样的免费防火墙。但是经过实际使用和测试,真正对大量发包的CC***真正起到防御作用的,寥寥无几,许多免费的防御程序,或免费的防火墙的,在对付一些短时间的恶作剧***有一定的作用,但是对付那些勒索式,×××式是很难起到什么作用的。
我们前面提到的DDoS***和CC***的防御方法,都有各自的优劣势,如何做到真正防御DDoS***和CC***,这是可以避免的,这种方法叫云漫网络的TTCDN。
原文地址:https://blog.51cto.com/14355514/2404705