代理攻擊

代理攻擊通俗的說就是不直接對攻擊目標進行攻擊，而是通過跳板伺服器對目標伺服器進行海量數據訪問操作，這些操作在單個看來是合法的連結，但在同時進行某個特定網頁的持續訪問操作時，會造成伺服器無法回響每個連線請求，甚至當機；或者在區域網路內外安插假的網關進行擾亂網路數據流通的攻擊方式，拒絕服務攻擊的效果明顯，直接體現就是用戶不能訪問被攻擊伺服器所提供的網頁，或者用戶無法訪問特定或者全部網站，危害較高，且無法通過增加防火牆或殺軟來解決。而虛假網關（區域網路內的肉雞形成的假網關）長期潛伏在區域網路內，反覆發作，無法根除則給家庭和企業用戶造成很大的困擾。代理攻擊的特點就是攻擊者不用自己動手，也不和被攻擊伺服器形成直接連線，大的代理商往往擁有數十個國家的上百萬台終端，想根治和防範十分困難。

代理攻擊

DDOS攻擊中最流行的也是威力最大的就是基於頁面的DDOS以及將這個攻擊理論發揮得淋漓盡致的攻擊工具CC，又名HTTP代理攻擊，主要是用來攻擊頁面。大家都有這樣的經歷，就是在訪問論壇時，如果這個論壇比較大，訪問的人比較多，打開頁面的速度會比較慢。一般來說，訪問的人越多，論壇的頁面越多，資料庫就越大，被訪問的頻率也越高，占用的系統資源也就相當可觀。

一個靜態頁面不需要伺服器多少資源，甚至可以說直接從記憶體中讀出來發給你就可以了，但是論壇就不一樣了，看一個帖子，系統需要到資料庫中判斷是否有讀讀帖子的許可權，如果有，就讀出帖子裡面的內容，顯示出來——這裡至少訪問了2次資料庫，如果資料庫的體積有200MB大小，系統很可能就要在這200MB大小的數據空間搜尋一遍，這需要極大的CPU資源和時間。如果是查找一個關鍵字，那么時間更加可觀，因為前面的搜尋可以限定在一個很小的範圍內，比如用戶許可權只查用戶表，帖子內容只查帖子表，而且查到就可以馬上停止查詢，而搜尋肯定會對所有的數據進行一次判斷，消耗的時間是相當的大。

CC攻擊

CC攻擊就是充分利用了這個特點，模擬多個用戶(多少執行緒就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作，就是需要大量CPU時間的頁面)。而使用代理可以有效地隱藏自己的身份，也可以繞開所有的防火牆，因為基本上所有的防火牆都會檢測並發的TCP/IP連線數目，超過一定數目一定頻率就會被認為是Connection-Flood。

使用代理攻擊還能很好的保持連線，我們這裡傳送了數據，代理幫我們轉發給對方伺服器，我們就可以馬上斷開，代理還會繼續保持著和對方連線，這樣伺服器就達到了超級繁忙狀態。。

拒絕服務攻擊即攻擊者讓目標機器停止提供服務或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁碟空間、記憶體、進程甚至網路寬頻，從而阻止正常用戶的訪問,是黑客常用的攻擊手段之一。其實對網路頻寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分，只要能夠對目標造成麻煩，使某些服務被暫停甚至主機當機，都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決，究其原因是因為網路協定本身的安全缺陷，從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊，實際上讓伺服器實現兩種效果：一是迫使伺服器的緩衝區滿，不接收新的請求；二是使用IP欺騙，迫使伺服器把非法用戶的連線復位，影響合法用戶的連線。

一、如果反映網站訪問慢，有攻擊情況發生的話，我們啟用BBS問題驗證，用戶需要在第一次訪問我們BBS時輸入正確問題之後，才能繼續訪問網站。這會增加用戶訪問的繁瑣度，權宜之計。

二、分析發生攻擊時間段的日誌，將產生特異請求的URL加入IPTABLES防火牆。命令如下：

awk '$4>"[24/Sep/2014:16:00:00"&&$4<"[24/Sep/2014:16:05:00"' access.log|awk '{a[$7]++}END{for(i in a)print a[i],i}'|sort -n|tail -n 10|column -t

iptables-IINPUT-mstring--algobm--string"search.php"-jDROP

三、在NGINX的配置里啟用禁止代理伺服器訪問我們的網站，返回444錯誤。

#proxy
if ($http_x_forwarded_for !~ '^\d+.\d+.\d+.\d+$'){
return 444;
}

或採用高效抵抗代理攻擊的廣義指定者驗證簽名。