德迅云安全

可信赖的互联网业务安全服务商

< 返回新闻公告列表

记一次变异CC攻击解析

发布时间:2019/4/14 13:35:12    来源: 德迅云安全

变异CC攻击处理事件

时间2019/4/3  1930

事件 CC攻击

市场上CC攻击大家应该是再熟悉不过了,CC攻击的原理就是攻击者利用木马控制各种电脑,不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。
近日我司用户就受到一种变异CC攻击,该CC不像传统CC会产生大量TCP连接,如果是光查看防火墙数据也是根本查看不出任何异常,用户也是辗转多家IDC未得到解决(如图1所示),
并且被答复没有攻击并草草了事,后来客户租用我司服务器得到了完美解决。下面我们就来看下我司技术是如何处理这种变异CC攻击的。能加深大家对攻击的了解。

1


据客户反馈被CC攻击了并且附上图(如图2所示),查看当前CPU和负载都是跑满情况的,这种情况基本上都是被CC导致的。

2

  

值班技术迅速反应查看防火墙,发现连接数并不高(如图3所示),也非常稳定不像是有被CC了的痕迹。

3


服务器上TOP查询是自身程序占用了全部CPU(如图4所示)。

4


根据这种情况技术开始对这台服务器抓包进行分析数据包(如图5所示),发现一个IP有非常多的psh数据包,这种包是TCP三次握手成功后的传输包,不会产生大量的TCP连接。

5

这边对这些数据包逐一进行分析,查看到这一个数据包下面都有几十组随机乱码类似帐号密码报文(如图6所示)。虽然抓包查看到只有几个IP在测试登录,但是一个IP每秒发送成百上千个随机账密,导致验证账号密码服务器无法响应那么多请求,服务器资源消耗殆尽,CPU跑高负载跑满。

6

因为这种CC比较特殊不像传统CC那样会产生大量的TCP连接数,一般的CC防护策略对这种CC来说根本就没有任何效果,还可能会导致正常玩家被拦截,找到原因后,技术立马针对这种特殊的CC攻击的指纹特征设立了一套特殊策略,完美解决了这个CC攻击的,效果非常显著,CPU资源负载直线降低,正常人马上能登陆,达到零误封效果,客户对效果非常满意。

立即加入,开启安全之旅

只需完成账户认证,即可体验德迅云安全 安全骑士、游戏盾、DDoS高防IP多款安全产品

立即体验
咨询
·
售后

咨询
·
售后

产品咨询与购买在线客服,高防咨询,解决方案

技术支持:0577-26676666故障申报,技术支持