实战经验:电商平台遭遇CC攻击,我们是如何应对的?

本文转至二马读书
几年前 , 我们的电商平台遭遇过一次CC攻击(一种分布式网络攻击 , 后面有详细介绍) , 当时整个网站几乎陷于瘫痪的状态 。 期间很多PC网页和APP页面打不开或者持续报错 , 下单流程也彻底跑不通了 。
实战经验:电商平台遭遇CC攻击,我们是如何应对的?文章插图
上图是对网站流量的监控 。 我们可以看到10:00时UV(访问用户)和client IP数量突然激增 , 翻了几千倍 。
实战经验:电商平台遭遇CC攻击,我们是如何应对的?文章插图
从后台监控看(上图) , CPU资源也被耗尽了 。 由于CPU被耗尽 , 服务器慢得要命 , 所以当时根本无法登入服务器查看CPU详细的使用情况 , 只能根据监控页面查看CPU使用情况 。
另外 , 出口带宽也被打满了 。 所以那段时间很多请求根本进不来 。 用户看到的就是空白页面 , 请求错误等情况 。
经过分析 , 我们发现这次攻击是新品限量首发活动引发的 , 是一次薅羊毛活动 。 攻击者专门针对限量的新品进行了分布式网络攻击 , 目的就是抢到限量新品 , 然后再在市场上高价出售获利 。
攻击者利用接码平台(接码平台 , 通俗点讲就是接收手机验证码的平台)提前注册好大量的账号 。 然后提前准备好脚本程序 , 利用一些攻击工具(文末有工具列表)将这些脚本分发到大量的代理或者肉鸡 , 并通过这些代理和肉鸡对网站发起分布式攻击。 攻击步骤如下图:
实战经验:电商平台遭遇CC攻击,我们是如何应对的?文章插图
下面我们详细了解一下CC攻击 。 了解CC攻击之前我们先弄清下面几个概念 。
僵尸主机&僵尸网络
僵尸主机是指感染僵尸程序病毒 , 从而被黑客程序控制的计算机设备 。 该计算机设备可以是终端设备 , 也可以是云端设备 , 例如个人电脑 , 手机 , 云端主机等 。 一般情况下 , 僵尸主机已经被人操控并和其他僵尸主机组成了一个僵尸网络 。 例如 , 一个人非法控制了10000台电脑 , 他可以同时调度这10000台电脑发起网络攻击行为 , 那么其中任意一台电脑就可以称为僵尸主机 , 而这10000台电脑就组成了僵尸网络(其实是每个电脑中被安装了僵尸客户端程序) 。 通常 , 一台被侵占的电脑只是僵尸网络里面众多僵尸主机中的一个 , 僵尸程序会默默在后台运行 。 一般电脑的拥有者很难察觉到自己的系统已经被“僵尸化” , 就仿佛是没有自主意识的僵尸一般 。 你用的手机电脑表面上看起来正常 , 也可能是被感染僵尸程序的一员 。
肉鸡
肉鸡泛指所有那些被别人控制的计算机设备(电脑和手机等) , 而不管其是否属于某个僵尸网络 , 是否被统一调度 。 计算机设备一旦被别人控制 , 就成为了别人砧板上的肉 , 别人想怎么吃就怎么吃 , 肉鸡(机)一名由此而来 , 也被称之为傀儡机 。 当然在肉鸡上安装僵尸程序之后 , 也就变成一个僵尸主机了 , 即大家所说的僵尸电脑 , 也就成了僵尸网络的一员 。
DDos攻击
DDos , 全称Distributed Denial of Service , 中文意思为“分布式拒绝服务” , 就是利用大量合法的分布式计算机设备对目标服务器(网站等)发送请求 , 导致目标服务器CPU、内存、带宽等资源耗尽 , 从而导致正常用户无法访问目标服务器 。 通俗点讲就是利用网络节点资源 , 如:IDC服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求 , 从而导致服务器拥塞 , 进而无法对外提供正常服务 。
实战经验:电商平台遭遇CC攻击,我们是如何应对的?文章插图
CC攻击
CC攻击(Challenge Collapsar) 。 其前身名为Fatboy攻击 。 Collapsar(黑洞) 是绿盟科技的一款抗DDOS产品 , 在对抗拒绝服务攻击的领域内具有很高的影响力和口碑 。 因此 , 黑客们把攻击更名为Challenge Collapsar , 表示要向黑洞发起挑战 。