发布者：tangkuikui      发布时间：2022/4/17      点击数：1708

安全防范是企业应该时刻关注的头等大事，关系到企业的数据安全，业务的健康稳定运行等多个方面。

2022年4月份14日20：00左右，蓝盟IT外包的安全管理员突然收到网站服务器的安全预警，提示cpu使用率过高（安全狗云眼的性能监控模块报警），同时收到网站后台被暴力破解攻击的报警（安全狗云御发出报警，是安全狗的waf模块，waf网站应用防火墙）

主动报警、快速响应。

蓝盟IT外包的安全管理团队，迅速行动，测试访问公司网站服务器进行检查，访问正常，每个页面无异常显示，同时登录安全狗进行检查，在云眼的运维监控模块中查看网站服务器的性能状态，确实cpu持续高位运行，接近90%。

第一反应可能是网站遭受到ddos攻击了，（ 布式拒绝服务攻击(英文意思是DistributedDenial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。

由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。），因为网站后台遭受暴力破解的攻击不会引起cpu使用率提升。立即登录安全狗云御模块waf（ Web应用防火墙（也称为：网站应用级入侵防御系统。英文：Web ApplicationFirewall，简称：WAF）。

利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。），进行检查，发现网站20:00的瞬间访问量达到2000以上，日常公司一天的网站访问量在500-600左右，这大概率是遭受cc攻击了（CC(ChallengeCollapsar，挑战黑洞)攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。
CC根据其工具命名，攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。

CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。）

安全防范手段

安全狗云御，本身具有cc攻击防范功能，小心期间，立即进入cc攻击模块，将允许代理访问网站功能关闭，拒绝代理访问，因为cc攻击为了隐藏自己的真实地址，大多是通过代理来进行页面访问的，同时调整cc攻击防范的阈值，降低阈值，因为这次cc攻击的体量不是太大，降低阈值可以有效的防范小规模的cc攻击。

查看攻击记录，发现存在了100多次网站后台的密码暴力破解的攻击，均被防范，不存在登录行为，不会对网站造成危害，也不会影响网站服务器性能。

安全狗的监测和自动防护表现优良

持续观察，检查安全狗云眼的威胁分析模块通过告警与响应中心发现针对服务器的大量暴力破解攻击都已经被防范住，无异常情况。在互联网上攻击是不能被避免的，能做的就是防护住所有攻击，互联网上的攻击是7*24进行的。

检查安全狗云御的攻击分析模块，检查攻击源，发现有大量来自荷兰的cc攻击，当然地址都是假的，攻击者会通过境外的服务器进行攻击，不会暴露自己真实的ip地址。cc攻击属于ddos攻击的一种，与普通的黑客攻击不同，技术含量不高，但是需要额外花费大量的资源，一般都是针对性的攻击，大概率是某个同行进行的。
检查攻击事件分析，还存在sql注入攻击，敏感资源探测与访问等等，这些都是针对网站服务器最常见的攻击了。因为针对网站服务器的攻击与针对服务器的攻击不同，保护网站服务器需要通过专业的waf进行防护，普通的防火墙无法防护针对网站服务器的攻击。

思考和总结

网络安全是一个动态的课题，攻击者不断变换方式，而防护上也要快速响应，及时阻挡，才能确保企业核心业务系统的安全和健康稳定运行。疫情的影响之下，企业大量采用混合办公模式，核心业务系统和数据云化很容易成为不法分子的攻击对象。

如何做好防范，蓝盟IT外包提示，企业可以通过部署安全防范系统的技术防范手段和自行组建或者选择安全外包团队的方式，实现“技防”和“人防”相结合的方式，才会更加有效。