现在网上流传一种方法,就是利用额外访问量来进行拒绝服务式攻击,这种攻击,只需要一个文件,短短的几行代码,就可以通过访问该文件的用户,在他们不知不觉的情况下给你的目标带来数十倍,甚至上百倍的访问量,当该文件的访问量达到一定数目时,给对方带来的压力将是非常可怕的。而且,这种攻击由于攻击源都是普通用户,无法在放火墙上面做任何设置,可以说是防不胜防。但是道高一尺,魔高一丈,有矛必有盾,这样的攻击方式很难维护,但是也绝对不是不能防护。下面讨论一下防御办法。
1:利用参数变换保护数据库访问率:对于使用到数据库或者其它文件资源的动态页面可以使用参数变换,比如我们设定函数Encrypt(id)把id转化成String的参数,我们的页面news.asp?id=acehj.我们可以通过Decrypt(string)进行解码,把它们解回id这样一来,客户很难伪造一个合法的参数访问页面,页面在解码的过程中利用验证码就拒绝了非法客户的访问,避免了恶意客户的数据库访问,通过牺牲一点点的CPU计算时间获得了数据库访问的安全。大家先看几个例子看能不能猜出里面的函数变换139<=>adkl.110<=>abba.80<=>hag.11234567890<=>abdfhjlnprjs。
看出来了吗?Encrypt和Decrypt的代码如下: <%
Function Encrypt (id)
StrR=""
Chk=0
For x=1 to len(id)
StrR=StrR&chr(95+x+cint(mid(id,x,1)))
Chk=Chk+Cint(mid(id,x,1))
Next
Chk=Chk mod 26
StrR=StrR&chr(95+chk)
Encrypt=StrR
End Function
Function Decrypt(str)
StrR=""
For x=1 to len(str)-1
u=(asc(mid(str,x,1))-x-95)
StrR=""
For x=1 to len(str,x,1))-x-95
u=(asc(mid(str,x,1))-x-95)
StrR=StrR&u
Next
Chk=Chk mod 26
if right(str,1)<>chr(95+chk) then
response.write "验证错误"
response.end
end if
Decrypt=StrR
End Function
%>
调用Encrypt(1235)得到acehj("aech?")时,只有?为j时能得到正确结果1234,除此之外的任何字符都将返回"现验证错误"。
通过这样的保护变化,客户访问的就是news.asp?id=acehj.无法看到实际id为1235,随机生成的id又无法通过验证过程,就无法通过软件模拟来制造多线程的合法访问,避免因为非法访问使得数据库资源耗尽而拒绝服务。另外,在这样的保护下,SQL lnjection漏洞也得到了很好的防御。
这仅仅是个示范代码,这个函数还有许多可以改进的地方:
1)可以增加函数变化的强度,降低函数被猜测出具体过程的概率。
2)可以把函数运用到Cookie中,对于Cookie做相应的变化,增加防御手段的隐蔽性。
3)可以把客户IP加入函数运算,不光节约增强了函数强度,还达到防止盗链的功能。一旦用户改变IP或伪造COOKIE及ID,马上就发现
4)可以把时间加入函数运算,不光节约服务器的存储空间,而且服务器只要通过对客户发送的字符串进行解码就能判断出客户信息。
程序可以改进的地方还有好多每虽然能从多方面保护服务器,但也要注意使用方法,比如第四点提到的对空间的节约,就需要考虑空间和时间综合因素。
2:在代码层提高程序运行效率,增加服务器运行能力,减少被拒绝服务的可能。程序代码非常关键,实现同样的功能,代码的好坏,效率差别极大,这里有两个添加数据的代码大家比较下:
代码一 <%
sql="select * from users"
rs.open sql,conn.1.3
rs.addnew
rs("username")="TEST"
rs("password"="123456"
rs.updatw
rs.close
%>
代码二 <%
sql="insert into users (username,password) values ('TEST','!23456')"
rs.open sql,conn,1,3
%>
明显的代码二的效率比一要高的多,特别是当数据库体积较大或者进行对次的重复操作时效率的提升是相当可观的,代码的好坏决定了程序的优劣,决定了服务器所能支持的客户数,进而决定了服务器的抗击DDOS的能力。
3:限制代理用户的访问:对代理用户访问的限制可以有效的防止黑客利用CC之类的工具进行攻击,限制黑客对代理的使用,增加他暴露的可能,所以禁止代理访问能够降低被攻击的可能。这个代码能够识别出大部分的代理访问。这段代码可以按用户自己的要求修改后写在Conn.asp里面,就能起作用拉,当然,代理是个双刃剑,对代理的限制也一样,禁止代理访问会给一部分用户的正常访问带来不变,所以要考虑后使用。
4:使用HTTPS协议,使用HTTPS协议可以说好处多多,可以多传输数据的安全性给予充分的保障,由于HTTPS协议的复杂性,能对HTTPS协议进行攻击也相对少的多,HTTPS协议如果使用的非标准端口,基本可以杜绝所有的代理攻击,还避免了多线程的下载,降低服务器压力,但是由于HTTPS协议的复杂性,服务器新跟能够相对HTTPS协议来说会低些,对客户电脑性能的要器乐也就有所提高。
5:减少动态文件的使用,增加景泰文件使用,动态文件可以带来丰富的页面,实现很多功能,节省开发时间,但是方便的同时就是服务器资源消耗的提升,所以许多大论坛都把访问大的帖子做成静态的,还有许多文章系统也事用的静态页面[比如Wwww.Cnhacks.CoM]以增加服务器的抗攻击能力。
6:合理设置防火墙,防火墙能够有效地检测出功能,并对攻击进行积极的防御,但是如果对防火抢的设置不合理,发有可能出现防火墙负担能力比服务器还差的情况,拒绝服务器攻击产生的根源变成防火墙
7:有条件的服务器可以使用端口重定向功能,80端口只负责做页面转向,具体提供服务的端口由系统动态决定,通过80端口的转往。
8:对于已经遭受攻击的服务器,可以在使用以上手段防御的同时,考虑增加服务器集群增加服务器的服务能力。
这是从服务器角度来考虑,当然还有其他当面,有不足地方还请大家指正,欢迎大家访问 http://www.cnhacks.com 赏金猎手进行技术交流! |