許多伴侶都知道木桶理論，一桶水的最大容量不是由它最高的處所抉擇的，而是由它最低的處所抉擇，處事器也是一樣，處事器的安詳性也是由它最懦弱的處所抉擇的，最懦弱的處所有多危險(xiǎn)處事器就有多危險(xiǎn)。DDOS也是一樣，只要你的處事器存在一個(gè)很耗資源的處所，限制又不足，就頓時(shí)成為別人DDOS的工具。好比SYN-FLOOD，它就是操作處事器的半毗連狀態(tài)比完全毗連狀態(tài)更耗資源，而SYN動(dòng)員方只需要不斷的發(fā)包，基礎(chǔ)不需要幾多資源。一個(gè)好的DDOS進(jìn)攻必需是通過(guò)本身少少資源的耗損帶來(lái)對(duì)方較大的資源耗損，不然好比ICMP-FLOOD和UDP-FLOOD都必需和別人一樣大的帶寬，對(duì)方處事器耗損幾多資源本身也得賠上幾多資源，效率極其低下，又很容易被人發(fā)明，此刻根基沒(méi)有什么人用了。

CC進(jìn)攻道理

CC主要是用來(lái)進(jìn)攻頁(yè)面的。各人都有這樣的經(jīng)驗(yàn)，就是在會(huì)見(jiàn)論壇時(shí)，假如這個(gè)論壇較量大，會(huì)見(jiàn)的人較量多，打開(kāi)頁(yè)面的速度會(huì)較量慢，對(duì)不？！一般來(lái)說(shuō)，會(huì)見(jiàn)的人越多，論壇的頁(yè)面越多，數(shù)據(jù)庫(kù)就越大，被會(huì)見(jiàn)的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀，此刻知道為什么許多空間處事商都說(shuō)各人不要上傳論壇，談天室等對(duì)象了吧。

一個(gè)靜態(tài)頁(yè)面不需要處事器幾多資源，甚至可以說(shuō)直接從內(nèi)存中讀出來(lái)發(fā)給你就可以了，可是論壇就紛歧樣了，我看一個(gè)帖子，系統(tǒng)需要到數(shù)據(jù)庫(kù)中判定我是否有讀讀帖子的權(quán)限，假如有，就讀出帖子內(nèi)里的內(nèi)容，顯示出來(lái)——這里至少會(huì)見(jiàn)了2次數(shù)據(jù)庫(kù)，假如數(shù)據(jù)庫(kù)的體積有200MB巨細(xì)，系統(tǒng)很大概就要在這200MB巨細(xì)的數(shù)據(jù)空間搜索一遍，這需要幾多的CPU資源和時(shí)間？假如我是查找一個(gè)要害字，那么時(shí)間越發(fā)可觀，因?yàn)榍懊娴乃阉骺梢韵薅ㄔ谝粋€(gè)很小的范疇內(nèi)，好比用戶權(quán)限只查用戶表，帖子內(nèi)容只查帖子表，并且查到就可以頓時(shí)遏制查詢，而搜索必定會(huì)對(duì)所有的數(shù)據(jù)舉辦一次判定，耗損的時(shí)間是相當(dāng)?shù)拇蟆?br />
CC就是充實(shí)操作了這個(gè)特點(diǎn)，模仿多個(gè)用戶（幾多線程就是幾多用戶）不斷的舉辦會(huì)見(jiàn)（會(huì)見(jiàn)那些需要大量數(shù)據(jù)操縱，就是需要大量CPU時(shí)間的頁(yè)面）。許多伴侶問(wèn)到，為什么要利用署理呢？因?yàn)槭鹄砜梢杂行У芈駴](méi)本身的身份，也可以繞開(kāi)所有的防火墻，因?yàn)楦纤械姆阑饓Τ鞘袡z測(cè)并發(fā)的TCP/IP毗連數(shù)目，高出必然數(shù)目必然頻率就會(huì)被認(rèn)為是Connection-Flood。利用署理進(jìn)攻還能很好的保持毗連，，我們這里發(fā)送了數(shù)據(jù)，署理幫我們轉(zhuǎn)發(fā)給對(duì)方處事器，我們就可以頓時(shí)斷開(kāi)，署理還會(huì)繼承保持著和對(duì)方毗連（我知道的記錄是有人操作2000個(gè)署剃頭生了35萬(wàn)并發(fā)毗連）。

大概許多伴侶還不能很好的領(lǐng)略，我來(lái)描寫(xiě)一下吧。我們假設(shè)處事器A對(duì)Search.asp的處理懲罰時(shí)間需要0.01S（多線程只是時(shí)間支解，對(duì)結(jié)論沒(méi)有影響），也就是說(shuō)他一秒可以擔(dān)保100個(gè)用戶的Search請(qǐng)求，處事器答允的最大毗連時(shí)間為60s，那么我們利用CC模仿120個(gè)用戶并發(fā)毗連，那么顛末1分鐘，處事器的被請(qǐng)求了7200次，處理懲罰了6000次，于是剩下了1200個(gè)并發(fā)毗連沒(méi)有被處理懲罰。有的伴侶會(huì)說(shuō)：丟毗連！丟毗連！問(wèn)題是處事器是按先來(lái)后到的順序丟的，這1200個(gè)是在最后10秒的時(shí)候提倡的，想丟？！還早，顛末計(jì)較，處事器滿負(fù)開(kāi)始丟毗連的時(shí)候，應(yīng)該是有7200個(gè)并發(fā)毗連存在行列，然后處事器開(kāi)始120個(gè)/秒的丟毗連，我們動(dòng)員的毗連也是120個(gè)/秒，處事器永遠(yuǎn)有處理懲罰不完的毗連，處事器的CPU100%并長(zhǎng)時(shí)間保持，然后丟毗連的60秒處事器也判定處理懲罰不外來(lái)了，新的毗連也處理懲罰不了，這樣處事器到達(dá)了超等忙碌狀態(tài)。

蝴蝶：我們假設(shè)處事器處理懲罰Search只用了0.01S，也就是10毫秒（這個(gè)速度你可以去各個(gè)有開(kāi)放時(shí)間顯示的論壇看看），我們利用的線程也只有120，許多處事器的丟毗連時(shí)間遠(yuǎn)比60S長(zhǎng)，我們的利用線程遠(yuǎn)比120多，可以想象可駭了吧，并且客戶機(jī)只要發(fā)送了斷開(kāi)，毗連的保持是署理做的，并且當(dāng)處事器收到SQL請(qǐng)求，必定會(huì)進(jìn)入行列，豈論毗連是否已經(jīng)斷開(kāi)，并且處事器是并發(fā)的，不是順序執(zhí)行，這樣使得更多的請(qǐng)求進(jìn)入內(nèi)存請(qǐng)求，對(duì)處事器承擔(dān)更大。

雖然，CC也可以操作這里要領(lǐng)對(duì)FTP舉辦進(jìn)攻，也可以實(shí)現(xiàn)TCP-FLOOD，這些都是顛末測(cè)試有效的。

防御要領(lǐng)

說(shuō)了進(jìn)攻道理，各人必定會(huì)問(wèn)，那么怎么防止？利用硬件防火墻我不知道如何防御，除非你完全屏蔽頁(yè)面會(huì)見(jiàn)，我的要領(lǐng)是通過(guò)頁(yè)面的編寫(xiě)實(shí)現(xiàn)防止。

1.利用Cookie認(rèn)證。這時(shí)候伴侶說(shuō)CC內(nèi)里也答允Cookie，可是這里的Cookie是所有毗連都利用的，所以啟用IP+Cookie認(rèn)證就可以了。

2.操作Session。這個(gè)判定比Cookie越發(fā)利便，不僅可以IP認(rèn)證，還可以防刷新模式，在頁(yè)面里判定刷新，是刷新就不讓它會(huì)見(jiàn)，沒(méi)有刷新標(biāo)記給它刷新標(biāo)記。給些示范代碼吧，Session：

1then

Session(“refresh”)=session(“refresh”)+1

Response.redirect“index.asp”

Endif

這樣用戶第一次會(huì)見(jiàn)會(huì)使得Refresh=1，第二次會(huì)見(jiàn)，正常，第三次，不讓他會(huì)見(jiàn)了，認(rèn)為是刷新，可以加上一個(gè)時(shí)間參數(shù)，讓幾多時(shí)間答允會(huì)見(jiàn)，這樣就限制了耗時(shí)間的頁(yè)面的會(huì)見(jiàn)，對(duì)正常客戶險(xiǎn)些沒(méi)有什么影響。

3.通過(guò)署剃頭送的HTTP_X_FORWARDED_FOR變量來(lái)判定利用署理進(jìn)攻呆板的真實(shí)IP，這招完全可以找到動(dòng)員進(jìn)攻的人，雖然，不是所有的署理處事器都發(fā)送，可是有許多署理都發(fā)送這個(gè)參數(shù)。具體代碼：

這樣會(huì)生成CCLog.txt，它的記錄名目是：真實(shí)IP[署理的IP]時(shí)間，看看哪個(gè)真實(shí)IP呈現(xiàn)的次數(shù)多，就知道是誰(shuí)在進(jìn)攻了。將這個(gè)代碼做成Conn.asp文件，替代那些毗連數(shù)據(jù)庫(kù)的文件，這樣所有的數(shù)據(jù)庫(kù)請(qǐng)求就毗連到這個(gè)文件上，然后頓時(shí)就能發(fā)明進(jìn)攻的人。

4.尚有一個(gè)要領(lǐng)就是把需要對(duì)數(shù)據(jù)查詢的語(yǔ)句做在Redirect后頭，讓對(duì)方必需先會(huì)見(jiàn)一個(gè)判定頁(yè)面，然后Redirect已往。

5.在存在多站的處事器上，嚴(yán)格限制每一個(gè)站答允的IP毗連數(shù)和CPU利用時(shí)間，這是一個(gè)很有效的要領(lǐng)。

CC的防止要從代碼做起，其實(shí)一個(gè)好的頁(yè)面代碼都應(yīng)該留意這些對(duì)象，尚有SQL注入，不僅是一個(gè)入侵東西，更是一個(gè)DDOS缺口，各人都應(yīng)該在代碼中留意。舉個(gè)例子吧，某處事器，開(kāi)動(dòng)了5000線的CC進(jìn)攻，沒(méi)有一點(diǎn)回響，因?yàn)樗械臅?huì)見(jiàn)數(shù)據(jù)庫(kù)請(qǐng)求都必需一個(gè)隨機(jī)參數(shù)在Session內(nèi)里，全是靜態(tài)頁(yè)面，沒(méi)有結(jié)果。溘然發(fā)明它有一個(gè)請(qǐng)求會(huì)和外面的處事器接洽得到，需要較長(zhǎng)的時(shí)間，并且沒(méi)有什么認(rèn)證，開(kāi)800線進(jìn)攻，處事器頓時(shí)滿負(fù)荷了。

代碼層的防止需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)劇本代碼的錯(cuò)誤，大概帶來(lái)的是整個(gè)站的影響，甚至是整個(gè)處事器的影響，慎之！