DDOS攻击压测（如何对一个网址或服务器进行压测）

weideiop123

DDOS攻击第七层（L7）——CC攻击

什么是CC攻击？

CC攻击是 DDOS（分布式拒绝服务） 的一种，DDoS是针对IP的攻击，而CC攻击的是网页。

CC攻击来的IP都是真实的，分散的。数据包都是正常的数据包，攻击的请求全都是有效的请求，无法拒绝的请求。服务器可以连接，但是网页就是访问不了，也见不到特别大的异常流量，但是持续时间长，仍能造成服务器无法进行正常连接，危害更大。

CC攻击也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡（僵尸电脑）向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

CC攻击的类型

CC攻击的种类有四种，直接攻击，僵尸网络攻击，代理攻击，肉鸡攻击。

1，直接攻击

主要针对有重要缺陷的 WEB 应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。

2，僵尸网络攻击

有点类似于 DDOS 攻击了，从 WEB 应用程序层面上已经无法防御。

3，代理攻击

代理攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现DOS和伪装。

4，肉鸡攻击

一般指黑客使用CC攻击软件，控制大量肉鸡发动攻击，相比代理攻击更难防御，因为肉鸡可以模拟正常用户访问网站的请求，伪造成合法数据包。


怎么判断自己在被CC攻击？

如果CC攻击你网站打不开，指定会有一种资源耗尽，才会引发网站打不开，打开卡。

可自行判断一下，是下列四种情况中的哪一种。

1，耗Cpu资源

黑客用1万台肉鸡，刷新你网站动态页面，如果你程序不够健壮，cpu直接100%。

2，耗内存资源

黑客只要刷新你动态页面中搜索数据库的内容，只要搜索量一大，内存占满。网站直接打不开或者是非常卡。

3，耗I/o资源

黑客找到上传文件，或者是下载文件的页面，在不停的上传与下载，磁盘资源点满。

4，耗带宽资源

下面这个带宽接10G，攻击上来2G，能看流量占用多少，如果流量占满了，服务器直接掉包，掉线。网站一点都打不开。

----------------------------------------------------------------------------------------------------------------------------------------------------------

DotN3t.org

提供提供 DDOS压测 和 CC压测
帮助新建设网址的用户进行网址压力测试服务
需要的朋友可以访问    DotN3t.org （国内用户需要挂扶墙访问）

L4压测1个并发提供15G的流量压测（STD、DROP、VSE、ACK、SYN、XSYN）——全新的SYN绕过协议
L7压测1个并发提供30K的流量压测（NETBYPASS：Bypasses Cloudflare UAM, BlazingFast UAM, Sucuri and Incapsula）

有图比：youtu.be/i6xKSHw1IeE
Telegram：t.me/joinchat/Qav78VE7UJlWNBRyyOIV9g


---------------------------------------------------------------------------------------------------------------------------------------------------------

DDOS攻击第四层——服务器攻击

在美国东部时间 2 月 28 日下午 12:15，代码托管平台、有着“码农天堂”之称的 GitHub 几乎一瞬间收到了 1.35 Tbps（兆兆位/秒）的流量访问。这是互联网有史以来规模最大、威力最大的分布式拒绝服务（DDoS）攻击。此次攻击使用了一个越来越流行、不需要任何僵尸网络的攻击手段。

虽然 GitHub 的防御系统一直在十分努力地抵抗，但是该网站却开始间歇性掉线。在 10 分钟之内，GitHub 就自动呼叫了“援兵”：DDoS 缓解服务公司 Akamai Prolexic。作为中间方，一切出入 GitHub 的数据都会先被导向 Prolexic 的“洗刷中心”，把所有恶意数据包挑出并禁止。在 8 分钟之后，攻击者发现攻击没有产生任何作用，于是选择了撤退，停止了这次攻击。

这场毫无硝烟的“电子战”的规模之庞大，只有去年互联网基础服务公司 Dyn 被攻击一案可以媲美。那次的攻击者释放了峰值为 1.2Tbps 的数据流，并导致美国东海岸多个大型网站因域名服务的消失而无法访问。

在 GitHub 的攻击结束后，Akamai 公司的网络安全副总裁 Josh Shaul 表示说：“我们是按照互联网有史以来规模最大的攻击的 5 倍规模来设计我们的容量的。所以我很肯定我们可以承受 1.3Tbps。但是我们却从未见过 1.5T 以上的数据一瞬间流入。有信心是一码事儿，看到它如你想象一般工作则是另一码事儿了。”

Akamai 对此次攻击采取了多种防御手段，除了 DDoS 防御设施之外，该公司近期还设计了一种专门针对来自 memcached 服务器的 DDoS 攻击的特殊防御手段。作为网络服务加速器的 memcached 服务器本不该被暴露在公共网络上，因为任何人都可以向它们提出询问（query），它们也会回复一切询问。但目前，网上大约有 10 万台来自企业与大小组织的 memcached 服务器在没有任何认证保护下被暴露了出来。这意味着任何攻击者都可以利用它们，通过向它们传输一个指令来让它们给出一个“巨大”的回复。

与其他大规模 DDoS 攻击（比如 Dyn 和法国电信公司 OVH 事件）不同的是，memcached DDoS 攻击并不需要一个被病毒感染的僵尸网络。攻击者仅需虚拟出其目标的 IP 地址，然后用这个地址向那些暴露的 memcached 服务器高速发送询问（大约每个服务器每秒 10 个）。这些询问就是以寻求最大的回应而设计的。因此，这些 memcached 系统会将一个大 50 倍的数据包回复给目标。

这种 DDoS 手段叫“放大攻击”（Amplification Attack），已经不是第一次出现了。随着网络服务商和网络设施供应商在过去的几周里发现 memcached DDoS 攻击出现得越来越多，他们迅速做出了反应，禁止了一切来自于 memcached 服务器的数据。

“大型 DDoS 攻击，比如那些通过滥用 memcached 服务器实现的攻击已经给网络运营商带来极大的困扰。”网络安全公司 Arbor Networks 的首席工程师 Roland Dobbins 说道。Dobbins 一直在跟踪 memcached 攻击的趋势，他认为“它们巨大的数据量将极大地影响网络服务处理用户请求的能力”。

在另一方面，全球的网络供应商群体也在试图从根本上解决这个问题。它们已经向暴露的 memcached 服务器的主人提出了建议，希望它们将这些服务器从公共网络上撤下来，放在防火墙后的内部私人网络中。

而 Prolexic 这些需要抵抗 DDoS 攻击的网络安全服务商则正在对其防御系统进行紧急更新，添加可以察觉到的 memcached 数据流，并立刻对其进行禁止过滤器。甚至如果骨干网络运营商可以找出 memcached 攻击所使用的指令，它们可以先一步禁止一段网络中出现任何 memcached 数据。

网络服务供应商 CenturyLink 的首席安全战略官 Dale Drew 表示：“我们将对这种攻击所使用的具体指令进行过滤，让它们甚至无法发出攻击”。然而，各公司需要迅速实施这些防御手段，“因为我们已经察觉到了 300 个扫描器正在寻找 memcached 服务器，所以外面至少有 300 个坏蛋正在寻找暴露的服务器”，Drew 说道。

绝大多数 CenturyLink 所见到的 memcached DDoS 攻击最多只会产生 40～50 Gbps，但是已有越来越多的人开始发现 500 Gbps 以上的攻击。2 月 25 日，Prolexic 为德国慕尼黑的一个目标成功防御了一次 200 Gpbs 的 memcached DDoS 攻击。

2 月 28 日的这场攻击，并非 GitHub 遭遇的首次 DDoS 攻击。该平台在 2015 年 3 月曾遭到了一次为期 6 天的攻击。对于 2015 年的技术来说，当年那场攻击已经十分出色了。但 DDoS 攻击的技术和平台，尤其是由物联网设备组成的僵尸网络已经大幅度进化，它们的威力也因此随之暴增。而对于使用 memcached DDoS 攻击的黑客来说，这种手段的优势在于他们并不需要散布任何病毒，也不需要维持任何僵尸网络。

互联网监督与网络情报公司 ThousandEyes 全程目睹了 2 月 28 日的攻防战。其产品营销副总裁 Alex Henthorne-Iwane 表示：“这是场成功的防御战。一切在 15～20 分钟之内就结束了。如果你看一下全球的数据，你会发现仅在‘察觉’DDoS 攻击这一项上就需要一个小时以上，意味着它的背后很有可能有一个人类在进行分析，给出结论。当一切在 20 分钟之内结束，你就知道这主要是由软件驱动的。我们很欣慰能看到（软件）成功的范例。”

在攻击的峰值过去之后，GitHub 还继续的将一切数据导向 Prolexic，以确保一切真正的结束了。Akamai 的 Shaul 表示，他怀疑攻击者之所以选择针对 GitHub，可能只是因为它是一个著名的网络服务商，一旦成功攻陷将为攻击者带来极大的名气。他们也有可能希望从中获取一笔“赎金”。“这场攻击十分短暂”，Shaul 说道，“我认为因为它没有造成任何影响，攻击者就不再愿意在上面浪费任何时间了。”

不过，如果那些暴露的 memcached 服务器不能在短时间之内从公共网络上撤下来，怀有恶意的黑客们很可能再次发起一次大规模的 DDoS 攻击。

--------------------------------------------------------------------------------------------------------------------------------------------------------