高配置机器在CC攻击需要做的调整WEB安全

关键词： 内存 论坛 攻击 网站

高配置机器在CC攻击需要做的调整WEB安全（精选12篇）

篇1：高配置机器在CC攻击需要做的调整WEB安全

手头有几个网站：1个Z-Blog的博客、1个phpwind论坛、1个Discuz!论坛，流量又都不高，所以用个512M内存的VPS也足够用了，平时速度也还不错，

但是……网站算是网络安全类的，所以，对网站的攻击隔三差五也是有的。还好，多数时候是扫描、踩点，用某安全监控软件检测到的攻击企图最多的一天居然有8万次……不过由于装有安全软件，一般的SQL注入等攻击还是没什么问题的——直到遇到CC攻击。

最开始的表现是w3wp.exe耗费CPU资源，从30%一直到100%。

刚开始以为是程序或者数据库问题，查看了VPS上的程序，发现没有被篡改，然后对.mdb数据库进行了压缩，但是发现没效果。这个时候，我感觉，是遇到攻击了……于是下载了分析软件，发现大量请求是对Z-Blog博客程序的catalog.asp进行多参数提交，这个文件可以读取tags，而我网站的tags又比较多，所以频繁的查询必然造成性能的急剧下降，

可以看到，catalog.asp文件(其实还有几个，但是这个文件最明显)的执行速度，已经到了让人无可忍受的地步!

我想过把catalog.asp等文件删除或改名：但是并不能解决问题。删除了这个文件造成的流量损失和功能损失是我不能接受的;改名的话攻击者照样可以用改名后的文件进行攻击。

其实，针对这样的攻击，手工能做的事情非常有限!

找了几款安全防护软件，多数对CC的防范效果都不算好，不能说完全无效，却只有有限的防御效果。于是，最终我装上了安全狗!

安全狗分为2个版本：服务器安全狗、网站安全狗。前者主要对服务器进行安全防范，后者主要对WEB服务器进行安全防护。对于Web服务器而言，建议2个一起装。

在服务器安全狗开启DDoS防护功能：

在网站安全狗上开启CC攻击防护功能：

然后……对，和我想的一样，服务器的CPU占用率就下来了。虽然还会有瞬间占用过高，但是网站的浏览不再受到影响，目的已经达到。

篇2：高配置机器在CC攻击需要做的调整WEB安全

临近中考怎么调整心态呢?十六个字：强化信心、优化情绪、进入状态、充分发挥。在临考的几天内，努力做好以下十件事就可能达到调整心态十六个字的要求。

1.制定好作息时间计划。把每天的复习功课、文体活动、休息与睡眠的时间安排合理，防止复习忙忙乱乱，按计划行事，使生理节奏感与心理节奏感增强。

2.进入中考时间节奏。按照中考上午开始时间与下午开始时间复习功课，例如按上午中考时间复习语文，有助于进入中考状态，有助于充分发挥已掌握的知识。

3.每天以中考的心态做卷子。有些考生认为自己已经做了好几个月的卷子了。临考前十天八天不做，看看就行了，这可能会导致考试时抓不住感觉，手生，影响发挥。我建议考前每天以中考的心态做卷子，到中考时就会以平常心态做卷子。

4.抓住最佳记忆时间。心理学研究证明，早晨起床后半小时及晚上睡觉前半小时由于不受前摄抑制、后摄抑制的影响，记忆效果最好。建议考生在早晨起床后半小时及晚上睡觉前半小时复习最关键、最重要的课程内容。

5.最好不玩电脑和上网。玩电脑、上网容 易上瘾，容易在大脑形成优势兴奋灶，抑制已掌握知识的发挥。

6.参加自己喜欢的文体活动。调节情绪、消除疲劳、养精蓄锐，以稳定的、饱满的情绪迎战中考。

7.注意饮食卫生，防止胃肠疾病。按照平时的饮食习惯吃饭就可以，没有必要加强营养去吃大鱼大肉。暴饮暴食会引起胃肠功能紊乱，影响情绪安定，不利于考试。

8.调整睡眠。从现在开始就不要再“开夜车”了，根据自己的情况把晚间睡眠调整到十点或十一点。6月23日晚上切不可提前上床，否则很容易辗转反侧难以入睡，使心绪烦躁不安，影响考试。

9.心平气和，防止烦躁。不想考试后的事，不与人争论问题，心平气和地对待考前的一些事情。考前有些紧张担心在所难免，考前有些轻度焦虑有助于发掘你的智力潜力。把自己的轻度考试焦虑看得太重，这才是影响考试的负面心态。

篇3：高配置机器在CC攻击需要做的调整WEB安全

CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

CC攻击的攻击技术含量低，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施攻击。不过，如果了解了CC攻击的原理，那就不难针对CC攻击实施一些有效的防范措施。

通常防止CC攻击的方法有几种，一个是通过防火墙，另外一些网络公司也提供了一些防火墙服务，例如XX网站卫士和XX宝，还有一种方法是自己写程序预防，昨天网站遇到CC攻击，这也让我尝试了一下各种防止CC攻击方法的有效性。

一开始我想使用某某网站卫士来预防攻击，从界面上看，似乎是防止了大量的CC攻击，但登录网站后发现，流量依旧异常，攻击还是依旧，看起来这个网站卫士的效果并没有达到。

从原理上看，基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。但如果IP的数量足够大，使得单个IP的连接数较少，那么防火墙未必能阻止CC攻击。

实际上，通过分析网站日志，还是很容易分辨出哪个IP是CC攻击的，因为CC攻击毕竟是通过程序来抓取网页，与普通浏览者的特性区别还是很大的，例如普通浏览者访问一个网页，必定会连续抓取网页的HTML文件、CSS文件、JS文件和图片等一系列相关文件，而CC攻击者仅仅只会抓取一个URL地址的文件，不会抓取其他类型的文件，其User Agent也大部分和普通浏览者不同，这就可以在服务器上很容易分辨出哪些访问者是CC攻击了，既然可以判断出攻击者的IP，那么预防措施就很简单，只需要批量将这些IP屏蔽，即可达到防范CC攻击的目的。

最终，我花了半个小时写了一段小程序，运行之后自动屏蔽了数百个IP，网站才算正常，从而证明，防火墙对于CC攻击的防御并不有效，最有效的方法还是在服务器端通过程序自动屏蔽来预防。

看来CC攻击的门槛还真低啊，搞个几百个代理或者肉鸡就能攻击别人了，其成本非常低，但效果比较明显，如果攻击者流量巨大的话，通过耗费带宽资源的方式都可以进行攻击。但是，CC攻击也有明显的技术缺陷，就是攻击者的IP并不是海量的，通常就是几百数千的级别，并且是真实访问了网站页面，这就使得网站可以通过程序过滤的方式，轻松获取到这些攻击者IP，批量进行屏蔽，那么这种CC攻击就会得到防。

IIS专家CC防御系统 这是一款针对CC防御效果还是不错的软件，现在推荐给大家

IIS专家

下载地址：www.jb51.net/softs/43858.html

以下对IIS专家CC防御功能进行演示

CC攻击，与DDOS、UDP、SYN Flood并为当今最流行的四大攻击方式，硬件防火墙防御UDP等效果较好，但对于CC这种全连接攻击，软件防御更占优势;

CC防御的原理概括：利用代理或者肉鸡的方式，对某服务器某个(某些)消耗资源较大的处理过程(文件)进行大量请求，远远超出服务器的处理能力，导致服务器瘫痪，无法响应正常请求;

基本特征：可以通过cmd命令：netstat –an查看当前TCP连接数，如果发现许多重复的等待连接数，如“TCP 211.87.147.4:80 220.10.69.67:2205 SYN_RECEIVED 4”，并且服务器CPU一直100%，带宽使用也很高，停止网络服务后CPU使用恢复正常，这种情况基本可以断定为CC攻击，

IIS专家的CC防御，相比其它软件的防御，有着智能防御的优势，不影响正常用户的访问，我们接下来进行演示：

一、CC防御基本信息设置：

我们先设置CC防御后发送到客户端浏览器的提示信息，如图1：

图1 设置CC攻击拦截提示信息

接下来对CC防御基本参数进行设置，图2：

图2 CC防御基本参数设置

关于防御性能指数，如果不能防御CC，我们可以设置的更低一些，比如8-15之间即可。

设置好后，让我们继续：

二、拒绝代理访问：

1、普通CC利用代理发动攻击，我们选中图2中的【拒绝所有代理访问】就可以很好的防止代理访问的攻击。设置好浏览器的代理，打开测试页面，如图3：

图3 禁止代理访问服务器示意图

三、防御恶意刷新演示：

1、图2中，设置单IP连接数访问上限为15(表示每个IP一秒内允许对某个页面进行15次请求)，超过该上限即认为恶意刷新，系统进行拦截，如图4：

图4 拦截单IP恶意刷新示意图

该IP被拦截后，根据图2的【防御解锁时间】，该时间过后该IP自动解封，如果继续发动攻击，则继续重新拦截!拦截后，能立即生产拦截日志：blacklist_ip.log

四、防御肉鸡攻击演示(以半自动过滤为例)：

比较高级的CC攻击，除了使用代理，也使用肉鸡的方式进行攻击，导致服务器不堪重负，IIS专家如果发现肉鸡攻击，立即会要求访问该页面的用户输入验证，验证后用户可以正常访问，同时，服务器其他未被攻击的页面可以照常访问，丝毫无影响，图5：

图5 输入验证码后即可正常访问

该页面被防护后，根据图2的【防御解锁时间】，该时间过后该页面的防御自动解除，如果继续被攻击，则IIS专家将对该页面继续重新防护!拦截后，能立即产生日志：blacklist_cc.log

五、IP黑名单：

对于不信任的IP，可以将其直接加入黑名单，阻止对服务器进行访问，如图6：

图6 设置IP黑名单

设置IP“127.0.0.1”到黑名单，通过该IP访问的用户就会被拦截，如图7：

图7 拦截IP示意图

CC防御后，IIS专家会记录攻击日志，如图5：

图5 在主控端看到的CC防御日志

六、总结：

1、IIS专家测试过成功防御8000TCP连接攻击;

2、CC防御效果与很多因素有关系，包括防御规则设置、服务器本身参数、非法用户攻击对象、非法用户攻击方式等;

篇4：高配置机器在CC攻击需要做的调整WEB安全

一、模拟 攻击

这里，我们首先来了解这个漏洞的具体情况。Qzone的跨站漏洞是网友无意中打开类似“hxxp://u ser.qzone.qq.com/QQ号码?url=任意字母”时发现的，这时网页显示为一个框架网页，中间为“无法打开网页”的空白页面(如图1);然而，当输入类似“hxxp://u ser.qzone.qq.com/QQ号码?url=www.baidu.com”的地址时却可以正常显示，这时url后的网址其实在幕后是加载的。那么，Qzone的跨站漏洞又是如何被 作为木马的媒介的呢?

第一步： 需要对该地址进行乔装改扮一番。比如：网页木马的url为“www.muma.com/muma.exe”。 会使用URl加密技术来为木马地址作掩护，常用的方法是把url地址转换为16进制，这里以ASCII码随心换为例(如图2)进行示范。

第二步： 将Qzone的地址设置为“hxxp://u ser.qzone.qq.com/QQ号码?url=%68%74%74%70%3A%2F%2F%77%77%77%2E%6D%75%6D%61%2E%63%6F%6D%2F%6D%75%6D%61%2E%65%78%65”并在网页上贴出Qzone的地址来引诱网友点击，用户往往点击了该地址下载运行了木马还蒙在鼓里。

二、如何防范Qzone攻击

方法1：既然这一跨站漏洞这么隐蔽，用户感染的几率也不会低，

我们需要如何来防范这一漏洞可能造成的危害呢?做到不感染病毒，未雨绸缪是最有效果的。因此，我们在访问网友的Qzone前，要多长几个心眼，要观察其网址的形式。

一般正常的Qzone的地址是“hxxp://u ser.qzone.qq.com/号码”或者“号码.qzone.qq.com/”形式的，如果出现“hxxp://u ser.qzone.qq.com/QQ号码?url=”的地址就要谨慎了，Qzone也可能出现类似“hxxp://u ser.qzone.qq.com/号码/?url=http%3A//photo.qq.com/tips_jump.htm%23uin%3D号码%26albumid%3D393029702%26photoid%3D”的地址，如果地址里面完全没有QQ的地址段，那么为了防止下载运行网页木马，可以将url后的字符输入到ASCII码随心换进行转换(如果是像以上地址的格式，可以将%后的十六进制字符逐个进行转换来获得完整地址)，如果url指向可执行文件就不能点击了。

方法2：为了防止系统被种植网页木马，还可以安装杀毒软件和防火墙并需要开始实时文件和网络监控，这样即使下载了网页木马也会被清除。如果发现了可疑的Qzone地址要及时举报，让 成为过街老鼠，毫无藏身之处。

小结:Qzone的跨站漏洞被用来种植木马具有受众广的特点，Qzone的地址经过加密化装后，又有几个人会仔细地进行甄别呢?因此，利用人们偷窥人家隐私空间的好奇心来传播木马是很有效果的。

篇5：高配置机器在CC攻击需要做的调整WEB安全

Sniffer最大的危险性就是它很难被发现，在单机情况下发现一个Sniffer还是比较容易的，可以通过查看计算机上当前正在运行的所有程序来实现，当然这不一定可靠，

在UNIX系统下可以使用下面的命令:ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。在Windoos系统下，可以按下Ctrl+Alt+Del键，查看任务列表。不过，编程技巧高的Sniffer即使正在运行，也不会出现在这里。

另一个方法就是在系统中搜索，查找可怀疑的文件。但人侵者用的可能是他们自己写的程序，所以这给发现Sniffer造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式，从而发现是否有一个Sniffer正在运行。 但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的，因为Sniffer是一种被动攻击软件，它并不对任何主机发出数据包，而只是静静地运行着，等待着要捕获的数据包经过。2、抵御 Sniffer

虽然发现一个Sniffer是非常困难的，但是我们仍然有办法抵御Sniffer的嗅探攻击。既然Sniffer要捕获我们的机密信息，那我们干脆就让它捕获，但事先要对这些信息进行加密， 即使捕捉到了我们的机密信息，也无法解密，这样，Sniffer就失去了作用。

主要用Sniffer来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。

SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户/服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。

SSH后来发展成为F-SSH，提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP的网络通信提供了通用的最强的加密。如果某个站点使用F―SSH，用户名和口令就不再重要了。目前，还没有人突破过这种加密方法。即使是Sniffer，收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。

另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer 到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击 一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里，或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器(Hub)的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听，

所有的问题都归结到信任上面。计算机为了和其他计算机进行通信，它就必须信任那台计算机。系统管理员的工作就是决定一个方法，使得计算机之间的信任关系很小。这样，就建立了一种框架，告诉你什么时候放置了一个Sniffer，它放在哪里，是谁放的等等。

如果局域网要和Internet相连，仅仅使用防火墙是不够的。人侵者已经能从一个防火墙后面扫描，并探测正在运行的服务。应该关心的是一旦人侵者进人系统，他能得到些什么。你必须考虑一条这样的路径，即信任关系有多长。举个例子，假设你的Web服务器对计算机A是信任的，那么有多少计算机是A信任的呢?又有多少计算机是受这些计算机信任的呢?一句话，就是确定最小信任关系的那台计算机。在信任关系中，这台计算机之前的任何一台计算机都可能对你的计算机进行攻击并成功。你的任务就是保证一旦出现Sniffer，它只对最小范围有效。

Sniffr往往是在攻击者侵人系统后使用的，用来收集有用的信息。因此，防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试，防止安全隐患。同时要控制拥有相当权限的用户的数量，因为许多攻击往往来自网络内部。

3、防止 Sniffer的工具 Antisnff

Antisniff是由著名 组织(现在是安全公司了)L0pht开发的工具，用于检测本地网络是否有机器处于混杂模式(即监听模式)。

一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说，了解哪台机器正处于混杂模式以作进一步的调查研究是非常重要的。

Antisniff 1.X版运行在以太网的WindOWS NT系统中，并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。这些测试方法与其操作系统本身无关。

Antisniff运行在本地以太网的一个网段上。如果在非交换式的C类网络中运行，Antisniff能监听整个网络;如果网络交换机按照工作组来隔离，则每个工作组中都需要运行一个Antisniff。原因是某些特殊的测试使用了无效的以太网地址，另外某些测试需要进行混杂模式下的统计(如响应时间、包丢失率等)。

Antisniff的用法非常简便，在工具的图形界面中选择需要进行检查的机器，并且指定检查频率。对于除网络响应时间检查外的测试，每一台机器会返回一个确定的正值或负值。返回的正值表示该机器正处于混杂模式，这就有可能已经被安装了Sniffer。

对于网络响应时间测试的返回值，建议根据第一次返回的数值计算标准值，然后再对在flood和非flood两次测试时返回的结果有较大变化的机器进行检查。一旦这些机器退出混杂模式返回到正常操作模式下，Antisniff的下一次测试将会记录到混杂模式和非混杂模式的差值(正值)。

篇6：高配置机器在CC攻击需要做的调整WEB安全

下面就来看看正文吧!

设备与黑客发现和攻击物联网设备的方法

研究人员的目标是测试15个物联网设备。这些设备中只有七台有本地HTTP服务器，所以研究的重点放在它们上，它们包括：Google Chromecast、Google Home、一台智能电视、一个智能开关和三个摄像头。

使用的攻击方法是：

欺骗受害人，诱导他们访问攻击者控制的网站。

在受害者的本地网络上发现物联网设备。

通过基于web的攻击控制设备。

攻击的持续时间

从技术上讲，这不是新的攻击向量。研究报告引用了之前的研究，发现攻击者使用这些攻击向量平均需要一分钟才能获得结果。奇怪的是，一项着名的研究结果

(What You Think You Know About the Web is Wrong)显示，55%的用户花在网站上的时间不超过15秒。看来大多数用户不会受到物联网漏洞的影响。

但是在普林斯顿大学和加州大学伯克利分校的研究中，研究人员明显缩短了攻击的持续时间。研究人员表示使用他们发现的方法，可以比之前的研究更快地发现和访问本地网络中的设备。但是Chrome除外，因为它缓存DNS请求，如果TTL低于某个阈值，则忽略TTL。需要注意的是，隔离区(DMZ，防火墙内的内部网络)中的设备通常被认为是安全的，因为用户假设外部是无法访问这些设备的。但是，通过这里描述的攻击，攻击者可以访问受害者内部网络中的浏览器。

发现HTTP端点

研究人员通过将这些设备连接到Raspberry Pi的无线接入点来分析这些设备。观察并分析了从设备发送和接收的数据包，以及与每个设备绑定的移动应用发送和接收的数据包。通过分析发现了35个GET请求端点和8个POST请求端点。这些端点用于识别发现阶段中的IP地址。

研究的阶段

研究人员通过两个不同的阶段进行研究，即发现阶段和接入阶段：

发现阶段的目标是在本地网络上找到浏览器上包含HTML5元素的物联网设备。

接入阶段的目标是使用DNS重绑定和已发现的IP地址访问HTTP端点。

1. 发现阶段：识别物联网设备

使用WebRTC获取本地IP地址。

通过81端口向IP范围内的所有IP地址发送请求。由于81端口通常不被占用，活动设备将立即响应一个TCP RST数据包。而对于IP范围内的非活动设备，请求数据包将超时。

每个活动IP地址都接收到最初阶段使用HTML5为35个GET端点收集的请求。根据返回的错误消息信息，攻击脚本将识别IP地址是否与七个设备中的任意一个匹配。

研究计划使用三种不同的操作系统(Windows 10、MacOS和Ubuntu)和四种不同的浏览器(Chrome、Firefox、Safari、MicrosoftEdge)。然而只有Chrome和Firefox这两个浏览器适合这项研究。因此不使用Safari和Edge浏览器，因为根据(基于Web的方式对本地物联网设备的发现和控制的攻击)：

在Safari上，所有的FETCH请求都超时了，导致攻击脚本将所有IP地址识别为不活动。而在Edge浏览器上，脚本可以使用FETCH请求正确识别活动IP地址，但Edge没有公开详细的HTML5错误消息，所以攻击脚本无法识别Edge上的任何设备。

2. 接入阶段：控制物联网设备

受害者访问攻击者控制的域名(domain.tld)，浏览器执行在攻击者站点上找到的恶意JavaScript代码。域名仍然解析为攻击者的服务器IP。

恶意脚本请求domain.tld上的另一个资源，该资源仅存在于攻击者服务器上。

如果受害者的本地DNS缓存仍然解析为攻击者的远程IP，则对/hello.php的请求将返回字符串“hello”，并重复步骤2。

但是如果受害者缓存中的domain.tld过期，则将向攻击者发送新的DNS查询。

最后将返回从发现阶段中获得的本地IP，而不是攻击者的远程IP，/hello.php不会使用字符串“hello”进行响应，而是使用不同的内容，如404错误，它告诉恶意脚本DNS重绑定攻击已经成功。

通过这次攻击，恶意脚本绕过了浏览器同源策略(Same-Origin Policy)，并获得了对运行在设备上的Web应用的访问权限。现在攻击者已经可以在Google Chromecast、Google Home、智能电视和智能开关设备上执行重新启动或启动视频/音频文件。

如何防止针对物联网设备的DNS重绑定攻击

研究人员称，用户、浏览器厂商、物联网厂商和DNS提供商需要采取预防措施，以避免DNS重绑定攻击。以下是研究给出的一些措施：

用户可以在浏览器上禁用WebRTC，并防止泄露私有IP。攻击者将能够通过向私有IP范围内的所有*.1地址(路由器地址)发送请求来发现用户的私有IP。

攻击者假设所有物联网设备的IP范围与受害者的PC具有相同的IP范围。用户可以通过配置路由器的DHCP服务器，在另一个子网(如 /16)上分配IP地址。

用户可以安装dnsmasq，通过从DNS响应中删除RFC 1918地址来防止DNS重绑定攻击。用户还可以使用dnsmasq的OpenWRT路由器。

物联网厂商可以在发送到Web接口的请求中控制Host标头。如果没有符合RFC 1918的私有IP，则可以阻止访问。

DNS提供商可以使用像dnswall这样的机制从DNS响应中筛选私有IP。

篇7：高配置机器在CC攻击需要做的调整WEB安全

1、authentication节点

基于窗体(Forms)的身份验证配置站点，当没有登陆的用户访问需要身份验证的网页，网页自动跳转到登陆网页。其中元素loginUrl表示登陆网页的名称，name表示Cookie名称

2、authorization 节点

allow向授权规则映射添加一个规则，该规则允许对资源进行访问。

deny向授权规则映射添加一条拒绝对资源的访问的授权规则。

users=“*” 是指任何用户users=“?” 是指经身份验证的用户

注意: 运行时，授权模块从最本地的配置文件开始，循环访问 allow 和 deny 元素，直到它找到适合特定用户帐户的第一个访问规则。然后，该授权模块根据找到的第一个访问规则是 allow 还是 deny 规则来允许或拒绝对 URL 资源的访问。默认的授权规则为 。因此，默认情况下允许访问，除非另外配置。

如果在根目录下的web.config配置太繁琐，可以配置到相应目录下，例如User目录下的web.config文件

3、customErrors 节点

mode=“On|Off|RemoteOnly”>

defaultRedirect 可选的属性。指定出错时将浏览器定向到的默认 URL。如果未指定该属性，则显示一般性错误。

Mode 必选的属性。指定是启用或禁用自定义错误，还是仅向远程客户端显示自定义错误。

此属性可以为下列值之一。

值 说明

On 指定启用自定义错误。如果未指定 defaultRedirect，用户将看到一般性错误。

Off 指定禁用自定义错误。这允许显示标准的详细错误。

RemoteOnly 指定仅向远程客户端显示自定义错误并且向本地主机显示 ASP.NET 错误。这是默认值。

默认值为 RemoteOnly。

error 可选的元素。指定给定 HTTP 状态代码的自定义错误页。错误标记可以出现多次。子标记的每一次出现均定义一个自定义错误条件。

例如：

这里可以让用户自定义出错页。

4、pages 节点

validateRequest=“true”

该值确定 ASP.NET 是否针对危险值检查来自浏览器的输入。如果 ASP.NET 针对危险值检查来自浏览器的输入，则为 true;否则为 false。默认值为 true。

这个功能是为了防止跨站脚本等危险代码。使全局默认为true。只有小数页面，如搜索页面

Search.aspx设为 : ValidateRequest=“false” 。为了可以搜索类似 等内容，如果只是文字性的输入，可修改页 search.aspx 的设置，以增强系统安全性。

Security.config 配置说明

文件位于config目录

1、后台页面访问配置

noCheckAdminLogOn

后台不检查权限的页面

2、检查外站链接的后台页面配置

noCheckUrlReferrer

后台不检查来源页的列表，即管理员用户可以直接访问的文件列表，

后台设置是默认不允许直接访问，这样可以保护后页页面不被非法方式访问和外站链接访问，有效防止跨站请求伪造。

如果文件不在列表中，直接在URL 里访问，将出现错误提示：

产生错误的可能原因：

对不起，为了系统安全，不允许直接输入地址访问本系统的后台管理页面。

如需要，用户可以加上自定义的内容。

3、防止跨站请求伪造追加安全码的页面配置

checkSecurityCode

页面提交时检查安全码。

防止不正常操作(恶意操作)造成系统重大损失。也是对一些重要操作的保护，防止跨站请求伪造。

如：

4、页面操作权限码的配置

checkPermissions

页面操作权限码的配置，检查后台管理员是否有相关操作码的权限。

operateCode 为操作码 根据操作码判断是否存在此操作的权限。

checkType权限判断类型， or and

or操作码中的权限进行或运算，即有其中任何一种权限，就返回true

这个默认值是or 而且对于单一权限码的,可以不用配置

and 操作码中的权限进行与运算,即要求有全部权限才返回true 否则返回false.

AjaxLabel.config 配置说明

是对AJAX.aspx 的文件访问权限控制配置文件。

由于前台AJAX标签过于强大，会致使 AJAX标签 会出现一些危险性，对此我们做了一个XML安全文件来配置那些AJAX标签可以直接引用。这个AjaxLabel.config 文件是在 网站根目录的Config 目录下。如果标签没有记录，就会出现 本标签禁止访问!

例如:

是指标签名 为 “内容评论PK标签” 的标签可以被ajas.aspx调用，而且参数param只能为 “generalid”,类型为Int，这样能有效防止恶意攻击。

如果用户需自定义标签，而且需要ajax.aspx 文件调用，那就在AjaxLabel.config 中配置

app_offlineX.htm 文件作用

如果你要COPY站点，进行站点维护，部署，和进行大量修改，有可能要停掉你的WEB应用程序了，而以一个友好的方式提示给用户，比如什么“本网站正在更新”等等的信息,你可以把文件app_offlineX.htm 改名为app_offline.htm(大小写没关系)的静态HTM页面文件，其中修改成你要临时显示的内容，将其放在你的应用的根目录下。这样，任何外部的请求的话，都会马上被转移到该页面了。

网站维护完成后记得将文件名app_offline.htm改回。

AllowString.xml 文件配置

文件位于Common目录下

文件的作用是：会员发表信息时启用防XSS(跨站攻击)设置时，让用户设置允许会员提交部份特殊js 代码。

XSS是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

例如：

功能是： 允许保留 nmousewheel=“return bbimg(this)” 和 nload=“resizepic(this)” 代码。这是对FCK上传图片功能的一个保留。

篇8：高配置机器在CC攻击需要做的调整WEB安全

一、来自局域网 工具的攻击

1、黑篇

基于局域网的 工具有很多，下面笔者以“局域网查看工具V1.70”为例演示，

这是一款功能强大的局域网工具，但是这么强大的功能如果被别有用心的人利用，就会对局域网内共享数据的安全产生威胁。

(1).搜索局域网内计算机：“局域网查看工具V1.70”的使用很简单，软件启动后可以选择搜索工作组、计算机、共享文件夹，也可以跳过这些步骤直接搜索所有在局域网内共享的文件。

(2).搜索敏感资料：在搜索结果中我们可以看到，局域网中的所有共享资源一目了然，后面可以看到该共享资源所在计算机的IP地址，试着打开该共享文件夹，结果自然是不攻自破。(图1)

篇9：高配置机器在CC攻击需要做的调整WEB安全

前言：

大家应该都还没有忘记三年前在Serv-U5.004版的之前所有版本的“Serv-UFTPMDTM命令缓冲区溢出”与“Serv-UFTP服务器LIST命令超长-l参数远程缓冲区溢出漏洞”吧，这个漏洞让很多服务器管理员立坐不安，也让很多大型的站点、甚至电信级的服务器沦陷了...随着Serv-U新版本的推出，这个漏同已经不存在了;虽然溢出不存在了，但 永远也没有停止，所以伴随着来的又是Serv-U5.0到6.0之 常用的本地提升权限缺陷。(注：最常见的就如webshell+su提权，我在Baidu输入“Serv-U提权”关键词，搜索结果“百度一下，找到相关网页约34,000篇，用时0.001秒”)因此，解决Serv-U的安全问题迫在眉睫。

Serv-U提权虽然严格来说这个不应该算是Serv-U的重大漏洞，但只要因管理员的配置不当将会产生严重的后果;下面LeeBolin就来为大家介绍下如何安全配置Serv-U，才能保证Serv-U甚至服务器的安全，跟我来.“go,go,go...”(最近CS玩多了，嘻嘻:P)

Serv-U防溢出提权攻击解决办法解决办法正文：

一、大家知道Liunx系统和Unix系统比Windows安全的一个重要原因在于：Linux和Unix的系统服务不使用root权限，而是使用权限比较低的另外一个单独用户，比如web服务使用了nobody这个用户。而Serv-U默认是以system身份运行的，而System这个系统内置账户对本机有完全操作的权限;因此如果攻击者利用Serv-U程序的漏洞而获得了可执行shell的那，那么他将可以随意控制操作系统里任何一个目录了

二、我们根据一的讲解知道了为什么Serv-U提权与溢出攻击可怕的原因了，那么我们该如何防止这一类攻击的发生呢?答案就是降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录...好，下面就一步一步跟我来吧!

三、Serv-U安全配置

1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U安装在D:/Pro_LeeBolin^_^/Serv-U#$$/...(因为这样复杂的目录名可防止Hacker的猜解)

2、然后将Serv-U取消MDTM命令的执行，修改Serv-UFTPBanner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P所造成的，呵呵$_$)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini文中，这样更加安全。

3、我们再开启“计算机管理”新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件”选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板->管理工具->本地安全策略->本地策略->用户权利指派->拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿)[(AD^_^:游刃在技术鬼神边缘,打造服务器安全神话!创世纪网络技术前瞻，成就互联网革命先驱!服务器安全讨论区[S.S.D.A])]

4、开始运行“Services.msc”打开win的服务管理器，找开Serv-UFtpServer的Serv-U服务;打开“登陆”对话框，

当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户，并输入密码。

5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了:

①C:/DocumentsandSettings/Serv-UAdmin目录加入Serv-UAdmin的权限，允许读取与写入..

②D:/Pro_LeeBolin^_^/Serv-U#$2008$/ Serv-U的安装目录加入Serv-UAdmin的权限，允许读取与运行。(如果选择了账户保存在ini文件的话，这里就需要增加修改与删除权限，因增删FTP账户时需要删改权才成，否则不能增删FTP账户哟^_^)

③如果Serv-U账户选择存在注册表的话。运行regedt32.exe,打开注册表编辑器。找到[HKEY_LOCAL_MACHINE/SOFTWARE/CatSoft]分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，删除除admins外的所有的账号。仅添加Serv-UAdmin账号到该子键的权限列表，并给予完全控制权限。(如果选择了账户信息保存在ini文件中的话可略过此步。)

④现在就来设置WEB目录的ACLs了，比如我的虚拟主机总目录为E:/Leebolin$(%/wwwroot;那么我们将此WEB目录加入Serv-UAdmin账号的权限即可，这样FTP就可以访问我们的WEB目录进行上传下载了，呵.(由于Serv-U并没有以system运行，所以这里只存留admins与serv-uadmin的权限就OK了。)

⑥如果是asp/php/html脚本的话，WEB目录只需要admins&serv-uadmin&IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...关于站点的安全与asp.Net的安全请参考我以前的文章:《FSO安全隐患解决办法》、《ASP木马Webshell之安全防范解决办法》、《ASP.NET木马及Webshell安全解决方案》、《服务器安全检查十大要素》)

四、到目前为止，我们的Serv-U已经简单的做到了防提权，防溢出了。为什么呢?因为能常远程溢出overflow的话，都是通过得一shell而进行进一步的hacking，而我们现在的Serv-U不是以system运行，所以即使执行了overflow指命，也并不能得到什么...防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..

五、今天的Serv-U防溢出提权攻击解决办法就为大家介绍到这里，您看到此处后，你会了吗?

后记：其实服务器、系统的安全是个整体的概念;有可能你其它一小点的疏忽就可以让你的网站、甚至服务器沦陷。因此安全策略必需走防患未然的道路，任何一个小地方都不能马虎、今天关于防Serv-U的安全配置小技巧就为大家介绍到这里...其它方面的服务器安全配置经验我们在下一篇文章再见吧:-)(注：由于本人才疏学浅，如文中有错误实为在所难免，还请各位看官见谅!旨在抛砖引玉，如果您有更好的办法请别忘了在服安论坛跟贴^0^,先行谢过!)

关于本文版权：本文版权归[服务器安全讨论区]与[本文作者]共同所有，您可以任意，但务必请保留文章的完整性与信息来源及作者信息等链接;但不欢迎转载者除去本版权信息。

篇10：高配置机器在CC攻击需要做的调整WEB安全

关于对付SQL注入攻击的方法已经有许多讨论，但是为什么还是有大量的网站不断地遭受其魔掌呢?安全研究人员认为，现在正是重新梳理最佳方法来对付大规模的SQL注入攻击的时候，从而减轻与注入攻击相关的风险。笔者在此介绍的这些方法未必是革命性的创举，但是又有多少企业真正按照要求全面地实施这些方法呢?

下面，我们将一一谈论这些方法：

使用参数化查询

企业应当制定并强化自行开发软件的安全编码指南，要求开发人员使用参数化查询来构建SQL查询，这样就可以将数据与代码区分开来。

对于多数SQL查询来说，开发人员需要指明某类标准，为此，就需要利用参数化查询，其实就是在运行时可传递的参数。参数化查询就是在SQL语句中有一个或多个嵌入参数的查询。这种将参数嵌入到SQL语句中的方法与动态构造SQL字符串相比，不易产生错误。下面我们看一个在.NET应用程序中使用参数化查询的例子。假设我们想给张三增加工资500元，可参考如下的代码。这些代码范例演示了参数化查询的使用，并展示了如何使用更新语句：

通过利用SQL的更新命令，你可以更新记录。在上面的例子中，我们作了如下操作：创建并打开一个数据库链接;创建一个代表执行更新语句的数据库命令;使用EDBCommand 的ExecuteNonQuery方法执行插入命令。

每一个参数都用一个EDBParameter对象指明。对于需要在SQL语句中指定的每一个参数来说，你需要创建一个EDBParameter对象，然后将值指派给这个对象。然后，将EDBParameter对象添加到EDBCommand命令的参数集中。

对于多数开发平台来说，应当使用参数化的语句而不是将用户输入嵌入到语句中。在许多情况下，SQL语句是固定的，每一个参数都是一个标量，而不是一个表。用户输入会被指派给一个参数。下面再给出一个使用Java和JDBC API的例子：

PreparedStatement prep = conn.prepareStatement(“SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?”);

prep.setString(1， username);

prep.setString(2， password);

prep.executeQuery();

笔者用这些例子只是想告诉开发人员，应当确保在查询数据库之前对输入进行净化，

要保障用户输入到网站的内容就是你正要查找的数据类型，所以说，如果你正在寻找一个数字，就要努力保障这种输入一定是一个数字而非字符。

实施过滤和监视工具

在Web应用程序和数据库这个水平上的过滤和监视工具可有助于阻止攻击并检测攻击行为，从而减轻暴露在大规模的SQL注入式攻击中的风险。

在应用程序水平上，企业应当通过实施运行时的安全监视来防御SQL注入攻击和生产系统中的漏洞。同样地，Web应用防火墙也有助于企业部署某些基于行为的规则集，可以在发生损害之前阻止攻击。

在数据库水平上，数据库活动监视还可以从后台过滤攻击。数据库的监视活动是对付SQL注入的一种很强大的工具。对于目前所知道的注入攻击而言，应当部署好过滤器，以便向数据库管理员发出警告：正在发生不太安全的问题;还要有一些一般的过滤器，用以查找SQL注入攻击中的典型伎俩，如破坏SQL代码的不规则的数字引用等。

精心编制错误消息

可以利用你的错误消息，以便于将来对付你。所以开发团队和数据库管理员都需要考虑：在用户输入某些出乎意料的“数据”时，应当返回的错误消息。

企业应当配置Web服务器和数据库服务器，使其不输出错误或警告消息。因为攻击者可以利用“盲目SQL注入”等技术来了解你的数据库设计细节。

及时打补丁并强化数据

由于没有打补丁或者配置错误，而造成与Web应用程序相关联的数据库遭受攻击，那么与SQL注入攻击相关的风险也会因之增加。

很显然，只要有补丁可用，你就需要给数据库打补丁，并且还要给Web应用程序和Web服务打补丁。

此外，别忘了你的数据库是怎样配置的。你需要禁用不必要的服务和功能，目的是为了强化数据库及其赖以运行的操作系统。

限制数据库的特权

最后，企业需要更好地管理与Web应用程序相关的账户与后台数据库交互的方式。许多问题之所以发生，其原因在于数据库管理员全面开放了一些账户，其目的是为了让开发人员更轻松地工作。但是，这些超级用户账户极易遭受攻击，并会极大地增加由SQL注入攻击及其它Web攻击给数据库所造成的风险。

篇11：高配置机器在CC攻击需要做的调整WEB安全

我们可以通过url编码对带有连接的标记进行攻击：

“>a

篇12：高配置机器在CC攻击需要做的调整WEB安全

CC攻击就是利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务，

攻击原理：CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，对不?!一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观，现在知道为什么很多空间服务商都说大家不要上传论坛，聊天室等东西了吧。

一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读读帖子的权限，如果有，就读出帖子里面的内容，显示出来――这里至少访问了2次数据库，如果数据库的体积有200MB大小，系统很可能就要在这200MB 大小的数据空间搜索一遍，这需要多少的CPU资源和时间?如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。

CC就是充分利用了这个特点，模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作，就是需要大量CPU时间的页面)。很多朋友问到，为什么要使用代理呢?因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。

使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接(我知道的记录是有人利用个代理产生了35万并发连接)。

二：怎么防范?

一，准备工作

1，登录进VPS控制面板，准备好随时重启VPS。

2，关闭Web Server先，过高的负载会导致后面的操作很难进行，甚至直接无法登录SSH。

3，以防万一，把设置的Web Server系统启动后自动运行去掉。

(如果已经无法登录进系统，并且重启后负载过高导致刚刚开机就已经无法登录，www.linuxidc.com可联系管理员在母机上封掉VPS的IP或80端口，在母机上用虚拟控制台登录进系统，然后进行2&3的操作，之后解封)

二，找出攻击者IP

1，在网站根目录建立文件ip.php，写入下面的内容。

$real_ip = getenv(‘HTTP_X_FORWARDED_FOR’);

if(isset($real_ip)){

shell_exec(“echo $real_ip >>real_ip.txt”);

shell_exec(“echo $_SERVER[REMOTE_ADDR] >>proxy.txt”);

}else{

shell_exec(“echo $_SERVER[REMOTE_ADDR] >>ips.txt”);

}echo ‘服务器受到攻击，正在收集攻击源，请在数分钟后访问本站，5分钟内多次访问本站有可能会被当作攻击源封IP。谢谢合作!’;

?>2，设置伪静态，将网站下的所有访问都rewrite到ip.php。

Nginx规则：

rewrite (.*) /ip.php;Lighttpd规则：

url.rewrite = (

“^/(.+)/?$” =>“/ip.php”

)3，启动Web Server开始收集IP

进行完1和2的设置后，启动Web Server，开始记录IP信息。

收集时间建议为3到5分钟，然后再次关闭Web Server。

real_ip.txt，这个文件中保存的IP有80%以上都相同的，这个IP就是攻击者实施攻击的平台的IP。

proxy.txt，这个文件中保存的是攻击者调用的代理服务器的IP，需要封掉。

ips.txt，这里记录的是未表现出代理服务器特征的IP，根据访问次数判断是否为攻击源。

三，对上一段的补充

如果VPS上启用了WEB日志，可以查看日志文件的增长速度来判断是哪个站点被攻击，

如果没有启用日志，并且站点数量很少，临时启用日志也很方便 。

如果没有启用日志，并且站点数量过多，可以使用临时的Web Server配置文件，不绑定虚拟主机，设置一个默认的站点。然后在ip.php里加入下面一行

shell_exec(“echo $_SERVER[HTTP_HOST] >>domain.txt”);四，开始封堵IP

建立文件ban.php

$num){

if($num >$threshold){

$ip = trim($ip);

$cmd = “iptables -I INPUT -p tcp Cdport 80 -s $ip -j DROP”;

shell_exec($cmd);

echo “$ip baned!”;

$ban_num ++;

}

}$proxy_arr = array_unique(file(‘ips.txt’));

foreach($proxy_arr as $proxy){

$proxy = trim($proxy);

$cmd = “iptables -I INPUT -p tcp Cdport 80 -s $ip -j DROP”;

shell_exec($cmd);

echo “$ip baned!”;

$ban_num ++;

}echo “total: $ban_num ips”;

?>用下面的命令执行脚本(确保php命令在PATH中)

php ban.php这个脚本依赖于第二段中ips.txt里保存的结果，当其中记录的IP访问次数超过10次，就被当作攻击源给屏蔽掉。如果是代理服务器，则不判断次数直接封掉。

封完IP之后，把所有的网站设置恢复正常，站点可以继续正常运行了。

五，一些细节

为保持对操作过程的描述尽量简洁，没有在上面的内容中加入过多的解释，留在这段统一讲述。

1，关于“代理服务器”的一些本质

两个与TCP&HTTP协议相关的值，REMOTE_ADDR和HTTP_X_FORWARDED_FOR。

(1)REMOTE_ADDR总是取离Web服务器最接近的一台主机的IP，如果没有使用代理，这个值就是访问者本身的IP，如果使用了代理，这个值就是代理服务器的IP，如果通过多个代理服务器进行的连接，这个值就是到达Web服务器前最后一台代理服务器的IP。

REMOTE_ADDR是由TCP/IP层决定的，不能修改不能伪造。

(2)HTTP_X_FORWARDED_FOR，因为这个值是属于HTTP部分，而不是TCP/IP，所以这个值不管是什么，都不影响数据的传输。事实上，一般情况下，如果是访问者直接访问Web服务器，这个值为空;通过透明代理的时候，这个值会被代理服务器设置为访问者的IP;通过匿名代理连接时，这个值可能为代理服务器的IP也可能是空的也有可能是随机的。

HTTP_X_FORWARDED_FOR可以被任意修改。大多数代理服务器都是透明代理，也就是说，会把这个值设置为最原始访问者的IP。

2，关于解决CC攻击的层面问题

按处理效率从高到低排列。

(由于本文是针对VPS服务器所写，而VPS简单来说就是服务器的低端替代品，内存和CPU等资源普遍偏低，当然是处理效率越高越好。)

(1)网络传输层。也就是本文所用的iptables，这个工具本身是工作于系统内核，在建立网络连接时直接把攻击者的连接给否了。在这一层面上将攻击源处理掉后，消耗掉的资源几乎可以忽略不计。

(2)Web Server层，大多数Web Server都可以设置禁止访问的IP。在这一层上解决的意义和上面的差不多，但是效率要差些。

(3)脚本层，从脚本程序上制定适合于本身的策略过滤掉攻击源。网络上有很多流传的在这一层面的解决方案，但是不太适用于VPS，而且设置难度可能要增加几倍或者几十倍。

3，为什么不是从日志收集IP?

主要是考虑两点，一是大多数VPS使用者都因为硬盘空间过小，经常清除日志很麻烦，而直接禁止了日志。