cc(ChallengeCollapsar)攻擊數據小結
攻擊者借助代理服務器生成指向受害主機的合法請求,實現DOS,和偽裝就叫:cc(ChallengeCollapsar)。有關cc的詳細資料它的源碼包,中有詳細的介紹.在這次的測試中,使用了六臺匿名代理服務器,對 202.202.202.202 上的測試環境進行攻擊。
使用的代理服務器;
207.68.98.5:8080
211.238.165.163:80
211.101.6.3:8080
61.178.185.56:80
61.180.161.248:80
219.149.233.179:8080
-----------------------------------------------------------------
**************** Web attrack **************************
-----------------------------------------------------------------
Thread數設置為400;攻擊穩定之后,在202.202.202.202建起的連接有420個
發起攻擊 20秒 之后,系統負載上升到15,后穩在12左右
------- 攻擊地址 -------------------------------------------------
http://202.202.202.202/acid_stat_iplink.php
addr_type=2">http://202.202.202.202/acid_stat_uaddr.php?addr_type=2
<20ICMP">http://202.202.202.202/acid_qry_mai...mit=Last%20ICMP
-----------------------------------------------------------------
-------202.202.202.202上 top 的典型結果 ------------------------------
12748 root 6 0 4676 4672 4320 S 99.9 0.2 1:18 1 httpd
21048 mysql 9 0 25484 24M 1928 S 99.9 1.2 1:03 0 mysqld
16356 cax 14 0 2052 2052 828 R 21.4 0.0 0:11 0 top
16370 root 9 0 3020 972 748 D 3.3 0.0 0:01 1 snort
10 root 9 0 0 0 0 SW 0.4 0.0 0:02 1 kjournald
1 root 8 0 504 504 456 S 0.0 0.0 0:04 0 init
2 root 9 0 0 0 0 SW 0.0 0.0 0:00 0 keventd
-----------------------------------------------------------------
------攻擊發起者的網絡流量(已達到2M電信網絡的最大值)-----------------
(ppp0+sit0+vmnet1+vmnet8+eth0)* input * output
time kbytes packets Merrs kbytes packets Merrs colls
23:18:45 342 1060 0 80 1129 0 0
23:18:46 316 1047 0 82 1149 0 0
23:18:47 337 1038 0 77 1104 0 0
23:18:48 256 937 0 73 1026 0 0
23:18:49 273 893 0 64 948 0 0
23:18:50 247 910 0 73 992 0 0
23:18:51 345 1000 0 68 1062 0 0
------------------------------------------------------------------
IDS中基本沒有記錄,除了源IP地址外,從數據報頭看不到明顯的特征;從9.80上返回的
數據包頭部Window字段超過80%的為 0x1920即6432.數據包的數據段內容有:
代碼:
------- web 攻擊時一個完整的連接建立過程,和請求時的數據段---------------------
211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60213 IpLen:20 DgmLen:48 DF
******S* Seq: 0x487F9CDA Ack: 0x0 Win: 0xFFFF TcpLen: 28
TCP Options (4) => MSS: 1380 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/25-23:12:23.151831 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x3E
202.202.202.202:8086 -> 211.101.6.3:31952 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:48 DF
***A**S* Seq: 0xF5DB9C77 Ack: 0x487F9CDB Win: 0x16D0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/25-23:12:23.185910 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x3C
211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60225 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x487F9CDB Ack: 0xF5DB9C78 Win: 0xFFFF TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/25-23:12:23.187659 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x19E
211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60226 IpLen:20 DgmLen:400 DF
***AP*** Seq: 0x487F9CDB Ack: 0xF5DB9C78 Win: 0xFFFF TcpLen: 20
47 45 54 20 2F 31 37 2F 61 63 69 64 5F 71 72 79 GET ....acid_qry
5F 6D 61 69 6E 2E 70 68 70 3F 6E 65 77 3D 31 26 _main.php?new=1&
6C 61 79 65 72 34 3D 49 43 4D 50 26 63 61 6C 6C layer4=ICMP&call
65 72 3D 6C 61 73 74 5F 69 63 6D 70 26 6E 75 6D er=last_icmp&num
5F 72 65 73 75 6C 74 5F 72 6F 77 73 3D 2D 31 26 _result_rows=-1&
73 75 62 6D 69 74 3D 4C 61 73 74 25 32 30 49 43 submit=Last%20IC
4D 50 20 48 54 54 50 2F 31 2E 30 0D 0A 56 69 61 MP HTTP/1.0..Via
3A 20 31 2E 31 20 50 52 4F 58 59 0D 0A 55 73 65 : 1.1 PROXY..Use <-- 使用代理服務器的特征
72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 r-Agent: Mozilla <-- 瀏覽器類型,用戶可定制
2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 /4.0 (compatible
3B 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64 ; MSIE 6.0; Wind
6F 77 73 20 35 2E 31 29 0D 0A 48 6F 73 74 3A 20 ows 5.1)..Host:
32 30 32 2E 31 30 38 2E 39 2E 38 30 3A 38 30 38 202.202.202.202....
36 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A ...Accept: */*..
52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F 2F Referer: http://
77 77 77 2E 77 68 69 74 65 68 6F 75 73 65 2E 6E www.whitehouse.n<-- 用戶可定制的字段
65 74 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 et..Accept-Langu
61 67 65 3A 20 7A 68 2D 63 6E 0D 0A 41 63 63 65 age: zh-cn..Acce
70 74 2D 45 6E 63 6F 64 69 6E 67 3A 20 67 7A 69 pt-Encoding: gzi
70 2C 20 64 65 66 6C 61 74 65 0D 0A 50 72 61 67 p, deflate..Prag
6D 61 3A 20 6E 6F 2D 63 61 63 68 65 0D 0A 43 6F ma: no-cache..Co
6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 nnection: Keep-A
6C 69 76 65 0D 0A 0D 0A live....
-------- End of web --------------------------------------------------
可以使用 iptables 的 strings 模塊來對包含數據段(payload)中包含 PROXY 的請求做限制.
--------------------------------------------------------------
*************** 對 smtp(25) **********************************
--------------------------------------------------------------
在202.202.202.202 上運行smtpsvr, cc.exe 中指定AttrackList為 http://202.202.202.202:25, 開啟1000個
Thread.
攻擊時,在9.80上看到已建立的連接穩在 1300 個,系統負載沒有在 1 左右.
------- 攻擊發起者的網絡流量 ------------------------------------------
(ppp0+sit0+vmnet1+vmnet8+eth0)* input * output
time kbytes packets Merrs kbytes packets Merrs colls
22:23:20 153 921 0 70 1002 0 0
22:23:21 351 1039 0 88 1166 0 0
22:23:22 333 1145 0 91 1494 0 0
22:23:23 207 866 0 58 1000 0 0
22:23:24 209 842 0 64 970 0 0
22:23:25 228 903 0 70 1094 0 0
22:23:26 179 863 0 60 1009 0 0
----------------------------------------------------------------------
----- 檢查了IDS中的記錄,一共有6條相關的記錄 ------------------------------
#64411-(1-67861) [snort] (portscan) TCP Decoy Portscan 2005-10-25 22:11:12 219.149.233.179 >
202.202.202.202 Raw IP
#64412-(1-67860) [snort] (portscan) TCP Portsweep 2005-10-25 22:11:12 219.149.233.179 >
202.202.202.202 Raw IP
#64413-(1-67859) [snort] (portscan) TCP Portsweep 2005-10-25 22:10:21 211.101.6.3 >
202.202.202.202 Raw IP
----------------------------------------------------------------------
抓包之后從數據包頭部看不到明顯的特征.
代碼
------- 攻擊 smtp 時一個完整的連接建立過程,和請求時的數據段---------------------
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/26-00:46:33.331445 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x4A
211.238.165.163:46854 -> 202.202.202.202:25 TCP TTL:52 TOS:0x0 ID:7533 IpLen:20 DgmLen:60 DF
******S* Seq: 0xFD17D0C8 Ack: 0x0 Win: 0x16D0 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 904613 0 NOP WS: 0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/26-00:46:33.331456 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x4A
202.202.202.202:25 -> 211.238.165.163:46854 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:60 DF
***A**S* Seq: 0x58577A09 Ack: 0xFD17D0C9 Win: 0x16A0 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 3657680 904613 NOP WS: 0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/26-00:46:33.545696 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x42
211.238.165.163:46854 -> 202.202.202.202:25 TCP TTL:52 TOS:0x0 ID:7534 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xFD17D0C9 Ack: 0x58577A0A Win: 0x16D0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 904633 3657680
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/26-00:46:33.545919 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x80
202.202.202.202:25 -> 211.238.165.163:46854 TCP TTL:64 TOS:0x0 ID:46575 IpLen:20 DgmLen:114 DF
***AP*** Seq: 0x58577A0A Ack: 0xFD17D0C9 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 3657701 904633
32 32 30 20 31 32 36 2E 63 6F 6D 20 43 6F 72 65 220 yy410.com po
6D 61 69 6C 20 53 4D 54 50 28 41 6E 74 69 20 53 ster SMTP(Anti S
70 61 6D 29 20 53 79 73 74 65 6D 20 28 31 32 36 pam) System (410
63 6F 6D 5B 30 33 30 39 30 31 5D 29 0D 0A com[030901])..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
------------ End of smtp --------------------------------------------
小結: cc使單臺主機具有了ddos攻擊的可能;攻擊者可以在受害主機上隱藏自己,但是可以通過察看proxy的日志來獲得用戶的真
實IP,但對廣大的使用動態IP的用戶來說,這樣的查找并沒有多大的意義.cc的攻擊兼有ddos和連接耗盡的特點;當用戶使用較多的
代理服務器時,就很難查找了;可以在服務器被攻擊時限制單IP的連接數量來阻止.
-------- CC 攻擊原理 -- 來自源碼包 ------------------------------------
1. 為什么我使用CC沒有什么效果?
CC是通過模擬多用戶訪問來達到拒絕服務的效果的,也就是說如果你模擬的用戶數目不能達到服務器的最大用戶,就達不到拒絕服
務的效果,比如xfocus只要600用戶就能拒絕,某臺超級SMTP服務器需要4000+的線程才能拒絕服務。
2. 為什么我的CC一運行就出錯?
說實話,這是我的錯誤,我最早的版本是有一個BUG的,其實就是代碼里面的hostnow溢出,所以你換個現在的版本就沒有問題了
3. CC的攻擊效果取決于什么?
你使用的有效的代理數目,線程數,你選擇的攻擊的頁面,還有服務器的性能。
4. CC為什么要使用代理,直接連接效果不是更好嗎?
使用代理的理由很多
第一是為了安全
第二是很多系統的防火墻都會檢測出有人PORT-FLOOD,使用代理就不存在被檢測成PORT-FLOOD的問題。
第三是利用了代理的特性,代理有個特性就是接到用戶請求以后一定會讀取頁面,不管用戶是否已經斷開,這樣大大提高了我們的
攻擊效率,如果我們直接連接必須保持住連接對方服務器才運行,我們通過代理只要把請求發給代理就可以斷開,剩下的是代理的
事情了。所以我們電腦完成的只是連接代理-〉發送請求-〉斷開,而不是有些朋友認為的需要等待數據返回,所以程序才能達到如
此的高線程。
5. 為什么我用1000線不能D下來的服務器,別人500線就可以呢?
這個就是頁面選擇的問題了,如果選擇靜態頁面,效果可以說很不好,因為服務器讀取一個靜態頁面不需要多少時間就能完成,比
如一個頁面服務器的讀取時間為0.0002S那么這說明該服務器的該頁面理論處理能力為5000個頁面,如果讀取時間為0.2S那么說
明該服務器該頁面的理論處理能力只有5個,顯然攻擊效果明顯不一樣。如果我一秒發起500個連接,對于第一個頁面,服務器在
0.1S里面就處理完了,我怎么攻擊也是沒有效果的,對于第二個頁面,服務器在一秒內只處理了5個連接,還有495個連接在隊列
中,這樣服務器就有495個連接被占用了,2秒就是990個,1分鐘就有29700個連接在隊列,如果服務器允許的并發連接數目小于
這個數字,那么任何人都無法連接到服務器了,服務器這時的CPU資源和內存資源也都滿負荷了。
6. 如何選擇一個好的頁面?
從第五條我們可以知道,一個能讓服務器運行時間越久的頁面越是服務器的薄弱點,大家知道木桶理論,木桶能裝多少水不決定于
木桶最高的地方有多高,而是木桶最低的地方的高度,那么我們選擇一個服務器運行時間最久的頁面作為對象,這一般是選擇數據
查詢次數多、查詢量大、查詢時間長的頁面。
7. 很多論壇同時在線都有2000多人,為什么CC模擬500人攻擊就不行了?
因為2000多人在線不是同時請求訪問服務器的,2000多人很可能在某一秒只有200人在請求服務器頁面,有1000多人在看帖子,
還有100多人在點連接,還有一些人只是在線,其實在看其他的網站。
8. 我聽說CC還可以攻擊SMTP、FTP等服務器?
是的,通過精心選擇參數,CC可以非常有效的攻擊FTP服務器,我曾經用Microsoft的FTP服務器ftp.microsoft.com做過試驗,效果非常的好,但是CC的目的不是教大家如何攻擊,如果這里詳細說明這樣成為一個傻瓜式的攻擊軟件了,我相信能看懂源代碼的朋友一定明白怎么回事。對于SMTP服務器其實就是PORT-Flood攻擊了,也是通過參數的選擇來實現的。
9. CC有什么好的防御方法嗎?
有,對于HTTP請求可以使用COOKIE和SESSION認證來判斷是否是CC的請求頁面,防止多代理的訪問請求,而且CC通過代理攻擊,
代理在轉發數據的時候會向HTTP服務器提交一個x-forward-ip(好像是,這就是為什么我們有時使用了代理,對方服務器一樣知
道我們的真實IP)這樣也是一個非常好的判斷方法,因為網絡上的代理雖然多,但是大部分都是非匿名的,就是說會發送
x-forward-ip的代理。
