CC攻击——暴力破解/扫描目录绕过WAF

1.什么是CC攻击?

CC攻击是Challenge Collapsar的缩写，是DDoS攻击的一种类型。攻击者使用代理机制，通过代理服务器向受害服务器发送大量貌似合法的请求，从而耗尽受害服务器的资源，导致服务器宕机崩溃。CC攻击主要针对业务系统应用层的薄弱环节，攻击成功率高，但防御难度较大。攻击者通常会利用广泛可用的免费代理服务器发动攻击，因为这些代理服务器支持匿名模式，使得追踪变得非常困难。由于攻击技术含量低，一个初、中级的电脑水平的用户就能够实施攻击。

为了应对CC攻击，需要采取一系列的防范措施，例如使用高性能防火墙、定期检查和清理代理服务器、加强服务器的安全防护等。同时，对于个人用户而言，也可以通过加强密码管理、不随意点击未知链接等方式来降低被攻击的风险。

2.开始

WAF绕过有哪些方法？

当我们遇到WAF时时常会感到束手无策，甚至想要放弃渗透（治疗）

接下来介绍一下当我们扫描目录/暴力破解时如何绕过WAF（安全狗）

我们在扫描目录/暴力破解时约等于CC攻击。

绕过WAF识别：

CC攻击绕过：

CC攻击是属于DDOS攻击的一种，简单来说就是通过匿名HTTP代理进行大量HTTP请求导致网页奔溃，我们先来看看WAF（安全狗）是如何防护的：

可以看到单IP访问频率超过100次/10秒 就会冻结IP，我们试着模拟攻击一下（其实是扫目录）

OK，我们已经被拦截了，但是拦截响应还是200，所以前面爆破目录只有前几条是有效的。

所谓知己知彼，百战不殆，我们知道安全狗是怎么识别并拦截的就可以知道怎么绕过了。

方式一：降低请求频率，防止IP被ban

先测出访问频率为多少时IP会被ban,然后再发起CC攻击，省的自己的代理池全军覆没。

方式二：爬虫白名单绕过

部分网站为了让一些搜索引擎收录，会开启爬虫白名单，我们就可以利用这个点进行伪装。

我们先开启爬虫白名单

然后进行伪装，定义特殊User-Agent头部，在头部插入：

http://www.google.com/search/spider.html

攻击后网站依旧可以正常访问，没有被ban，成功绕过安全狗

方式三：扩大代理池

当你的IP代理池足够大，就可以赶在WAF把你IP给ban光前让网站奔溃（狗头）

防范CC攻击可以采取以下措施：

完善日志：保留完整日志的习惯，通过日志分析程序，能够尽快判断出异常访问，同时也能收集有用信息，比如发现单一IP的密集访问，特定页面的URL请求激增等等。

IP屏蔽限制：辨别攻击者的源IP，针对CC攻击的源IP，可以在IIS中设置屏蔽该IP，限制其访问，达到防范IIS攻击的目的。

使用高防服务器：高防服务器都是有专门的防CC防火墙架构的，可以根据不同的CC攻击调整专门的CC防护策略来拦截攻击。

安装软防：可以在服务器里面安装软件防火墙，如冰盾，金盾等等防CC软件防火墙。

网站页面静态化：网站页面静态化可以较大程度的减少系统资源消耗，从而达到提高抗系统抗攻击能力。

部署高防CDN：高防CDN通过隐藏源站的形式，使攻击流量无法直接打到源站上，在通过在各个骨干节点上添加防御性能，可以有效的将攻击流量在打到各个节点上时就进行清洗，将攻击流量清洗掉，接待正常的流量。遇单一节点被攻击沦陷时，也不会对其他用户的访问造成影响，用户依旧可以通过其他的节点正常的访问网站。有效的保障用户的访问不受影响，源站不受攻击流量影响。

综上所述，防范CC攻击需要采取一系列的措施，包括完善日志、IP屏蔽限制、使用高防服务器、安装软防、网站页面静态化、部署高防CDN等。这些措施可以有效降低被CC攻击的风险，保障业务系统的正常运行。

原文始发于微信公众号（天盾信安）：CC攻击——暴力破解/扫描目录绕过WAF