discuz论坛遭受攻击的几种可能

vingoo

CC攻击
攻击者控制某些主机不停地发大量数据包给对方器造成器资源耗尽，一直到宕机崩溃。攻击者利用 CC 的这个特点模拟 N 个用户并发连接，而这些连接都是真实、分散的，CC 攻击的请求全都是有效的请求，无法拒绝的请求，不易被察觉，那么后果就是站点的页面访问速度集聚下降，用户访问的时候变的非常非常慢。所以当我们的站点变的比以往慢很多倍的时候就有可能是被 CC 攻击了。

解决方法
找到站点程序的 config 文件夹，打开 config_global.php 文件，找到：
$_config['security']['attackevasive'] = ’0′;
进行修改即可，0为关闭防御，打开防御可以把0修改为组合的形式，组合为: 1|2, 1|4, 2|8, 1|2|4…等。建议大家使用以下方案：
$_config['security']['attackevasive'] = 1|2|4;
此方案可以通过延缓访问的方式，减轻访问量较大的站点的服务器压力。通过Discuz自带的防CC攻击是非常有效的，大家可以试试。

防治原理
1代表cookie 刷新限制：
当同一个 cookie 请求大于或等于 1 秒时刷新，将被限制访问。
2代表限制代理访问：
大家应该都理解什么是代理访问吧？这里就不详细解释了，相信很多站长朋友对代理访问比较熟悉。
利用代理访问是比较常用的一种攻击手段，因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，
超过一定数目一定频率就会被认为是Connection-Flood。
使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接
(有人利用2000个代理就能产生 35 万并发连接)。所以限制代理访问可以有效防御CC攻击。
3代表二次请求：
开启了二次请求机制，先显示等待 2 秒重新加载然后才会跳转出真实的帖子，如下图所示：

4代表回答问题 ：
当第一次访问时需要回答问题，如下图所示：

弊端：
会影响搜索引擎对discuz论坛的收录，不建议长期使用

Connection Flood。称为连接耗尽攻击，顾名思义就是将服务器上可用的连接数占满直至无法正常响应。与其他的攻击方式不同的是，连接耗尽攻击使用真实的IP地址与服务器建立连接。攻击者操控了大量的傀儡主机或者使用代理服务器来发起大规模的连接。当连接数达到一定规模，超过了服务器的能力时，正常的连接请求将无法建立。通过不断地与服务器建立大量的连接，最终服务器的内存资源将被耗尽。应该说，连接耗尽攻击比以上的攻击更为复杂，手段和变化更为丰富多彩。判断连接耗尽攻击需要对netstat ？Can显示的连接状态进行分析，可能出现的情况有：

1) 若干个源IP与服务器建立了大量的连接；

2) 大量的连接处于TIME_WAIT, FIN_WAIT状态；

除了建立大量的连接之外，攻击程序在与服务器建立连接之后可能始终不放弃连接，并间隔地向服务器发送垃圾数据包使得连接状态始终保持，拖延服务器释放连接的时间，这种连接也可以称之为"空连接"。
显然，如果攻击者掌握的傀儡主机数量不够的话，就需要每个傀儡主机与服务器建立相当数量的连接才能使攻击效果比较明显。防火墙就可以通过限制每个源IP的连接数来将攻击的影响降到最低点。但是当傀儡主机数量足够多的时候，几乎是每个源IP只与服务器同时保持2到3个连接，如果限制源IP的连接数，就有可能使得正常的服务无法正常访问。大多数的网站内容丰富多彩，打开一个页面就可能需要向服务器发起数十个连接，限制连接就有可能使得页面上的内容无法正常打开。

连接耗尽攻击对防火墙带来的冲击也是很明显的，由于连接数量巨大，占用了大量的连接表项，防火墙的负载和内存使用率将会明显上升。如果在防火墙前面部署具有防护连接耗尽攻击能力的设备，在傀儡主机向服务器发起连接请求的时候，防护设备是无法简单的根据SYN包来判断是否是正常连接的，从而只能让连接通过，只有当连接建立之后才有可能判断是否恶意的连接，但此时已经对服务器和防火墙造成了一定的影响。所以防护设备在连接建立之后，如果一断时间内没有有效的数据包从客户端到达，则可以判定此连接为"空连接"，同时应当尽快地主动清除已经建立的连接，使得防火墙和服务器释放连接表项。

vingoo

原贴地址:https://www.douban.com/group/topic/37240035/