设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 108|回复: 7

kangle CC防御针对前后端分离的站机制问题

[复制链接]

签到天数: 33 天

[LV.5]常住居民I

发表于 2022/11/15 16:33 | 显示全部楼层 |阅读模式 |Firefox 106.0|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
@小樱 最近做个防御项目测试是前后端分离的的站,蓝队一直CC攻击的是数据源获取的地址,然后一直触发了kangle的CC,CC的频率是10-8 拦截页面是点击认真,被攻击的话这样就导致了后端的数据源获取不了,显示跨域。preset 换个JS con 之类的模式也是不行 只要一被触发CC 红队的后端站就获取不到数据源 报错显示跨域。 这样有什么好的解决办法吗
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 3985 天

[LV.Master]伴坛终老

发表于 2022/11/15 18:59 | 显示全部楼层 |Google Chrome 107.0.0.0|Windows 10
cc防御频率改成0 0,代表对一切请求访问流量始终验证。
如果是静态插入api接口实现框架的页面,请对api做白名单放行,请改写php代码提升api性能,或者使用ip频率黑名单。

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 33 天

[LV.5]常住居民I

 楼主| 发表于 2022/11/15 20:12 | 显示全部楼层 |Firefox 106.0|Windows 10
小樱 发表于 2022/11/15 18:59
cc防御频率改成0 0,代表对一切请求访问流量始终验证。
如果是静态插入api接口实现框架的页面,请对api做 ...

后端的api参数是动态的,方法是固定的,要怎么对api做白名单放行,是通过域名获取的,攻击者也是打的这个api的获取域名,所以CC防御机制频率拦截的导致API获取不到 打不开。那要怎么过白呢,能说下具体吗
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 3985 天

[LV.Master]伴坛终老

发表于 2022/11/15 20:41 | 显示全部楼层 |Google Chrome 107.0.0.0|Windows 10
hackaq 发表于 2022/11/15 20:12
后端的api参数是动态的,方法是固定的,要怎么对api做白名单放行,是通过域名获取的,攻击者也是打的这个 ...


假设主页是:https://www.bilibili.com/
api地址是:https://www.bilibili.com/api/v1
那么加白则在防护CC表单中插入一个匹配模块url,值为 www.bilibili.com/api/v1 ,不用精确到?号后面的参数,并且勾选非,代表启用白名单仅对填写值以外的url启用防护CC

如下图


欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 33 天

[LV.5]常住居民I

 楼主| 发表于 2022/11/15 21:09 | 显示全部楼层 |Firefox 106.0|Windows 10
小樱 发表于 2022/11/15 20:41
假设主页是:https://www.bilibili.com/
api地址是:https://www.bilibili.com/api/v1
那么加白则在 ...

这样给api的地址过白之后就不会触发cc的频率和拦截点击机制了是吧,那这样的话,攻击者还是继续打api/v1的话是不是就没有CC防御了呢?
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 3985 天

[LV.Master]伴坛终老

发表于 2022/11/15 21:17 | 显示全部楼层 |Google Chrome 107.0.0.0|Windows 10
hackaq 发表于 2022/11/15 21:09
这样给api的地址过白之后就不会触发cc的频率和拦截点击机制了是吧,那这样的话,攻击者还是继续打api/v1 ...

针对api,基本只能靠优化php代码本身性能,或者做多后端多节点均衡负载,此时可提供多台服务器来同时运行api,或者启用ip访问频率黑名单来防御攻击。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 33 天

[LV.5]常住居民I

 楼主| 发表于 2022/11/15 21:46 | 显示全部楼层 |Firefox 106.0|Windows 10
小樱 发表于 2022/11/15 21:17
针对api,基本只能靠优化php代码本身性能,或者做多后端多节点均衡负载,此时可提供多台服务器来同时运行 ...

好的 明白了 谢谢 做后端负载试试
[发帖际遇]: hackaq 发帖时在路边捡到 3 樱币,偷偷放进了口袋. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 3985 天

[LV.Master]伴坛终老

发表于 2022/11/15 22:10 | 显示全部楼层 |Google Chrome 107.0.0.0|Windows 10
hackaq 发表于 2022/11/15 21:46
好的 明白了 谢谢 做后端负载试试


按照一台2核2G vps对api能处理可达10w TPS(Transaction Per Second),1000W日活跃用户的站点,日访问峰值的时间点集中在晚上19:00,23:00是一天中活跃的峰值,也就是说会出现每秒90000个请求的情况,正常情况一台vps可带动1000W日活跃用户的站点。
也就是说每台vps服务器api代码优化针对正常访问需要能够支撑每秒90000个请求,对于异常CC攻击一般可达到三倍或者十倍的访问量,此时就需要根据系统负载情况做多节点部署后端增加api服务器数量。

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2022/12/1 19:15 , Processed in 0.342460 second(s), 20 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表