攻擊者借助代理服務(wù)器生成指向受害主機的合法請求,實現(xiàn)DOS,和偽裝就叫：cc(ChallengeCollapsar)。有關(guān)cc的詳細(xì)資料它的源碼包，中有詳細(xì)的介紹.在這次的測試中,使用了六臺匿名代理服務(wù)器,對 202.202.202.202 上的測試環(huán)境進(jìn)行攻擊。

使用的代理服務(wù)器；
207.68.98.5:8080
211.238.165.163:80
211.101.6.3:8080
61.178.185.56:80
61.180.161.248:80
219.149.233.179:8080

-----------------------------------------------------------------
**************** Web attrack **************************
-----------------------------------------------------------------

Thread數(shù)設(shè)置為400；攻擊穩(wěn)定之后，在202.202.202.202建起的連接有420個
發(fā)起攻擊 20秒 之后，系統(tǒng)負(fù)載上升到15，后穩(wěn)在12左右

------- 攻擊地址 -------------------------------------------------
http://202.202.202.202/acid_stat_iplink.phphttp://202.202.202.202/acid_stat_uaddr.php?addr_type=1
addr_type=2">http://202.202.202.202/acid_stat_uaddr.php?addr_type=2
<20ICMP">http://202.202.202.202/acid_qry_mai...mit=Last%20ICMP
-----------------------------------------------------------------

-------202.202.202.202上 top 的典型結(jié)果 ------------------------------

12748 root 6 0 4676 4672 4320 S 99.9 0.2 1:18 1 httpd
21048 mysql 9 0 25484 24M 1928 S 99.9 1.2 1:03 0 mysqld
16356 cax 14 0 2052 2052 828 R 21.4 0.0 0:11 0 top
16370 root 9 0 3020 972 748 D 3.3 0.0 0:01 1 snort
10 root 9 0 0 0 0 SW 0.4 0.0 0:02 1 kjournald
1 root 8 0 504 504 456 S 0.0 0.0 0:04 0 init
2 root 9 0 0 0 0 SW 0.0 0.0 0:00 0 keventd
-----------------------------------------------------------------

------攻擊發(fā)起者的網(wǎng)絡(luò)流量（已達(dá)到2M電信網(wǎng)絡(luò)的最大值）-----------------
(ppp0+sit0+vmnet1+vmnet8+eth0)* input * output
time kbytes packets Merrs kbytes packets Merrs colls
23:18:45 342 1060 0 80 1129 0 0
23:18:46 316 1047 0 82 1149 0 0
23:18:47 337 1038 0 77 1104 0 0
23:18:48 256 937 0 73 1026 0 0
23:18:49 273 893 0 64 948 0 0
23:18:50 247 910 0 73 992 0 0
23:18:51 345 1000 0 68 1062 0 0
------------------------------------------------------------------

IDS中基本沒有記錄,除了源IP地址外,從數(shù)據(jù)報頭看不到明顯的特征;從9.80上返回的
數(shù)據(jù)包頭部Window字段超過80%的為 0x1920即6432.數(shù)據(jù)包的數(shù)據(jù)段內(nèi)容有:

代碼:
------- web 攻擊時一個完整的連接建立過程,和請求時的數(shù)據(jù)段---------------------

211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60213 IpLen:20 DgmLen:48 DF
******S* Seq: 0x487F9CDA Ack: 0x0 Win: 0xFFFF TcpLen: 28
TCP Options (4) => MSS: 1380 NOP NOP SackOK

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/25-23:12:23.151831 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x3E
202.202.202.202:8086 -> 211.101.6.3:31952 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:48 DF
***A**S* Seq: 0xF5DB9C77 Ack: 0x487F9CDB Win: 0x16D0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/25-23:12:23.185910 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x3C
211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60225 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x487F9CDB Ack: 0xF5DB9C78 Win: 0xFFFF TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/25-23:12:23.187659 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x19E
211.101.6.3:31952 -> 202.202.202.202:8086 TCP TTL:117 TOS:0x0 ID:60226 IpLen:20 DgmLen:400 DF
***AP*** Seq: 0x487F9CDB Ack: 0xF5DB9C78 Win: 0xFFFF TcpLen: 20
47 45 54 20 2F 31 37 2F 61 63 69 64 5F 71 72 79 GET ....acid_qry
5F 6D 61 69 6E 2E 70 68 70 3F 6E 65 77 3D 31 26 _main.php?new=1&
6C 61 79 65 72 34 3D 49 43 4D 50 26 63 61 6C 6C layer4=ICMP&call
65 72 3D 6C 61 73 74 5F 69 63 6D 70 26 6E 75 6D er=last_icmp&num
5F 72 65 73 75 6C 74 5F 72 6F 77 73 3D 2D 31 26 _result_rows=-1&
73 75 62 6D 69 74 3D 4C 61 73 74 25 32 30 49 43 submit=Last%20IC
4D 50 20 48 54 54 50 2F 31 2E 30 0D 0A 56 69 61 MP HTTP/1.0..Via
3A 20 31 2E 31 20 50 52 4F 58 59 0D 0A 55 73 65 : 1.1 PROXY..Use <-- 使用代理服務(wù)器的特征
72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 r-Agent: Mozilla <-- 瀏覽器類型,用戶可定制
2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 /4.0 (compatible
3B 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64 ; MSIE 6.0; Wind
6F 77 73 20 35 2E 31 29 0D 0A 48 6F 73 74 3A 20 ows 5.1)..Host:
32 30 32 2E 31 30 38 2E 39 2E 38 30 3A 38 30 38 202.202.202.202....
36 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A ...Accept: */*..
52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F 2F Referer: http://
77 77 77 2E 77 68 69 74 65 68 6F 75 73 65 2E 6E www.whitehouse.n<-- 用戶可定制的字段
65 74 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 et..Accept-Langu
61 67 65 3A 20 7A 68 2D 63 6E 0D 0A 41 63 63 65 age: zh-cn..Acce
70 74 2D 45 6E 63 6F 64 69 6E 67 3A 20 67 7A 69 pt-Encoding: gzi
70 2C 20 64 65 66 6C 61 74 65 0D 0A 50 72 61 67 p, deflate..Prag
6D 61 3A 20 6E 6F 2D 63 61 63 68 65 0D 0A 43 6F ma: no-cache..Co
6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 nnection: Keep-A
6C 69 76 65 0D 0A 0D 0A live....

-------- End of web --------------------------------------------------

可以使用 iptables 的 strings 模塊來對包含數(shù)據(jù)段(payload)中包含 PROXY 的請求做限制.

--------------------------------------------------------------
*************** 對 smtp(25) **********************************
--------------------------------------------------------------

在202.202.202.202 上運行smtpsvr, cc.exe 中指定AttrackList為 http://202.202.202.202:25, 開啟1000個

Thread.

攻擊時,在9.80上看到已建立的連接穩(wěn)在 1300 個,系統(tǒng)負(fù)載沒有在 1 左右.

------- 攻擊發(fā)起者的網(wǎng)絡(luò)流量 ------------------------------------------
(ppp0+sit0+vmnet1+vmnet8+eth0)* input * output
time kbytes packets Merrs kbytes packets Merrs colls
22:23:20 153 921 0 70 1002 0 0
22:23:21 351 1039 0 88 1166 0 0
22:23:22 333 1145 0 91 1494 0 0
22:23:23 207 866 0 58 1000 0 0
22:23:24 209 842 0 64 970 0 0
22:23:25 228 903 0 70 1094 0 0
22:23:26 179 863 0 60 1009 0 0
----------------------------------------------------------------------

----- 檢查了IDS中的記錄,一共有6條相關(guān)的記錄 ------------------------------

#64411-(1-67861) [snort] (portscan) TCP Decoy Portscan 2005-10-25 22:11:12 219.149.233.179 >

202.202.202.202 Raw IP

#64412-(1-67860) [snort] (portscan) TCP Portsweep 2005-10-25 22:11:12 219.149.233.179 >

202.202.202.202 Raw IP

#64413-(1-67859) [snort] (portscan) TCP Portsweep 2005-10-25 22:10:21 211.101.6.3 >

202.202.202.202 Raw IP
----------------------------------------------------------------------
抓包之后從數(shù)據(jù)包頭部看不到明顯的特征.
代碼
------- 攻擊 smtp 時一個完整的連接建立過程,和請求時的數(shù)據(jù)段---------------------

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/26-00:46:33.331445 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x4A
211.238.165.163:46854 -> 202.202.202.202:25 TCP TTL:52 TOS:0x0 ID:7533 IpLen:20 DgmLen:60 DF
******S* Seq: 0xFD17D0C8  Ack: 0x0  Win: 0x16D0  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 904613 0 NOP WS: 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/26-00:46:33.331456 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x4A
202.202.202.202:25 -> 211.238.165.163:46854 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:60 DF
***A**S* Seq: 0x58577A09  Ack: 0xFD17D0C9  Win: 0x16A0  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 3657680 904613 NOP WS: 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/26-00:46:33.545696 0:13:1A:4F:81:40 -> 0:12:3F:24:C1:84 type:0x800 len:0x42
211.238.165.163:46854 -> 202.202.202.202:25 TCP TTL:52 TOS:0x0 ID:7534 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xFD17D0C9  Ack: 0x58577A0A  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 904633 3657680

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

10/26-00:46:33.545919 0:12:3F:24:C1:84 -> 0:13:1A:4F:81:40 type:0x800 len:0x80
202.202.202.202:25 -> 211.238.165.163:46854 TCP TTL:64 TOS:0x0 ID:46575 IpLen:20 DgmLen:114 DF
***AP*** Seq: 0x58577A0A  Ack: 0xFD17D0C9  Win: 0x16A0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 3657701 904633
32 32 30 20 31 32 36 2E 63 6F 6D 20 43 6F 72 65  220 yy410.com po
6D 61 69 6C 20 53 4D 54 50 28 41 6E 74 69 20 53  ster SMTP(Anti S
70 61 6D 29 20 53 79 73 74 65 6D 20 28 31 32 36  pam) System (410
63 6F 6D 5B 30 33 30 39 30 31 5D 29 0D 0A        com[030901])..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
------------ End of smtp --------------------------------------------

小結(jié): cc使單臺主機具有了ddos攻擊的可能;攻擊者可以在受害主機上隱藏自己,但是可以通過察看proxy的日志來獲得用戶的真

實IP,但對廣大的使用動態(tài)IP的用戶來說,這樣的查找并沒有多大的意義.cc的攻擊兼有ddos和連接耗盡的特點;當(dāng)用戶使用較多的

代理服務(wù)器時,就很難查找了;可以在服務(wù)器被攻擊時限制單IP的連接數(shù)量來阻止.

-------- CC 攻擊原理 -- 來自源碼包 ------------------------------------

1． 為什么我使用CC沒有什么效果？

CC是通過模擬多用戶訪問來達(dá)到拒絕服務(wù)的效果的，也就是說如果你模擬的用戶數(shù)目不能達(dá)到服務(wù)器的最大用戶，就達(dá)不到拒絕服

務(wù)的效果，比如xfocus只要600用戶就能拒絕，某臺超級SMTP服務(wù)器需要4000+的線程才能拒絕服務(wù)。

2． 為什么我的CC一運行就出錯？
說實話，這是我的錯誤，我最早的版本是有一個BUG的，其實就是代碼里面的hostnow溢出，所以你換個現(xiàn)在的版本就沒有問題了

3． CC的攻擊效果取決于什么？

你使用的有效的代理數(shù)目，線程數(shù)，你選擇的攻擊的頁面，還有服務(wù)器的性能。

4． CC為什么要使用代理，直接連接效果不是更好嗎？

使用代理的理由很多
第一是為了安全
第二是很多系統(tǒng)的防火墻都會檢測出有人PORT-FLOOD，使用代理就不存在被檢測成PORT-FLOOD的問題。
第三是利用了代理的特性，代理有個特性就是接到用戶請求以后一定會讀取頁面，不管用戶是否已經(jīng)斷開，這樣大大提高了我們的

攻擊效率，如果我們直接連接必須保持住連接對方服務(wù)器才運行，我們通過代理只要把請求發(fā)給代理就可以斷開，剩下的是代理的

事情了。所以我們電腦完成的只是連接代理-〉發(fā)送請求-〉斷開，而不是有些朋友認(rèn)為的需要等待數(shù)據(jù)返回，所以程序才能達(dá)到如

此的高線程。

5． 為什么我用1000線不能D下來的服務(wù)器，別人500線就可以呢？

這個就是頁面選擇的問題了，如果選擇靜態(tài)頁面，效果可以說很不好，因為服務(wù)器讀取一個靜態(tài)頁面不需要多少時間就能完成，比

如一個頁面服務(wù)器的讀取時間為0.0002S那么這說明該服務(wù)器的該頁面理論處理能力為5000個頁面，如果讀取時間為0.2S那么說

明該服務(wù)器該頁面的理論處理能力只有5個，顯然攻擊效果明顯不一樣。如果我一秒發(fā)起500個連接，對于第一個頁面，服務(wù)器在

0.1S里面就處理完了，我怎么攻擊也是沒有效果的，對于第二個頁面，服務(wù)器在一秒內(nèi)只處理了5個連接，還有495個連接在隊列

中，這樣服務(wù)器就有495個連接被占用了，2秒就是990個，1分鐘就有29700個連接在隊列，如果服務(wù)器允許的并發(fā)連接數(shù)目小于

這個數(shù)字，那么任何人都無法連接到服務(wù)器了，服務(wù)器這時的CPU資源和內(nèi)存資源也都滿負(fù)荷了。

6． 如何選擇一個好的頁面?

從第五條我們可以知道，一個能讓服務(wù)器運行時間越久的頁面越是服務(wù)器的薄弱點，大家知道木桶理論，木桶能裝多少水不決定于

木桶最高的地方有多高，而是木桶最低的地方的高度，那么我們選擇一個服務(wù)器運行時間最久的頁面作為對象，這一般是選擇數(shù)據(jù)

查詢次數(shù)多、查詢量大、查詢時間長的頁面。

7． 很多論壇同時在線都有2000多人，為什么CC模擬500人攻擊就不行了？

因為2000多人在線不是同時請求訪問服務(wù)器的，2000多人很可能在某一秒只有200人在請求服務(wù)器頁面，有1000多人在看帖子，

還有100多人在點連接，還有一些人只是在線，其實在看其他的網(wǎng)站。

8． 我聽說CC還可以攻擊SMTP、FTP等服務(wù)器？

是的，通過精心選擇參數(shù)，CC可以非常有效的攻擊FTP服務(wù)器，我曾經(jīng)用Microsoft的FTP服務(wù)器ftp.microsoft.com做過試驗，效果非常的好，但是CC的目的不是教大家如何攻擊，如果這里詳細(xì)說明這樣成為一個傻瓜式的攻擊軟件了，我相信能看懂源代碼的朋友一定明白怎么回事。對于SMTP服務(wù)器其實就是PORT-Flood攻擊了，也是通過參數(shù)的選擇來實現(xiàn)的。

9． CC有什么好的防御方法嗎？

有，對于HTTP請求可以使用COOKIE和SESSION認(rèn)證來判斷是否是CC的請求頁面，防止多代理的訪問請求，而且CC通過代理攻擊，

代理在轉(zhuǎn)發(fā)數(shù)據(jù)的時候會向HTTP服務(wù)器提交一個x-forward-ip（好像是，這就是為什么我們有時使用了代理，對方服務(wù)器一樣知

道我們的真實IP）這樣也是一個非常好的判斷方法，因為網(wǎng)絡(luò)上的代理雖然多，但是大部分都是非匿名的，就是說會發(fā)送

x-forward-ip的代理。