什么是CC攻擊

CC攻擊（Challenge Collapsar）是DDOS（分布式拒絕服務(wù)）的一種，是一種常見的網(wǎng)站攻擊方法，攻擊者通過代理服務(wù)器或者肉雞向受害主機(jī)不停訪問，造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰 CC攻擊利用代理服務(wù)器向網(wǎng)站發(fā)送大量需要較長(zhǎng)計(jì)算時(shí)間的URL請(qǐng)求，如數(shù)據(jù)庫(kù)查詢等，導(dǎo)致服務(wù)器進(jìn)行大量計(jì)算而很快達(dá)到自身的處理能力而形成DOS

而攻擊者一旦發(fā)送請(qǐng)求給代理后就主動(dòng)斷開連接，因?yàn)榇聿⒉灰驗(yàn)榭蛻舳诉@邊連接的斷開就不去連接目標(biāo)服務(wù)器，因此攻擊機(jī)的資源消耗相對(duì)很小，而從目標(biāo)服務(wù)器看來，來自代理的請(qǐng)求都是合法的

CC攻擊示例

例如攻擊者成功黑了一個(gè)訪問量巨大的網(wǎng)站首頁，在頁面中添加了100個(gè)如下的代碼： <iframe src=http://aaa.com border=”0″ width=”0″ height=”0″></iframe> http://aaa.com 就是攻擊的目標(biāo)網(wǎng)站 效果就是每當(dāng)有人訪問了這個(gè)被黑的首頁，就有100個(gè)http://aaa.com請(qǐng)求 由于這個(gè)被黑的首頁訪問量極大，所以http://aaa.com的壓力可想而知 這個(gè)方式還是有點(diǎn)復(fù)雜，需要黑掉某網(wǎng)站，現(xiàn)在方便了，免費(fèi)的代理非常多，所以CC的主要手段就變?yōu)槭褂么罅看矸?wù)器發(fā)起攻擊

CC與DDOS的區(qū)別

DDoS是針對(duì)IP的攻擊，而CC攻擊的是網(wǎng)頁 DDoS可以用硬件防火墻來過濾攻擊，CC攻擊本身的請(qǐng)求就是正常的請(qǐng)求，硬件防火墻對(duì)他起不到很好的防御效果

CC攻擊的常用防護(hù)方式

01

云WAF

例如：百度云加速 思路很簡(jiǎn)單，就是用戶訪問你的域名時(shí)，會(huì)經(jīng)過這類產(chǎn)品的代理掃描，發(fā)現(xiàn)問題直接攔下，沒問題的話就把用戶請(qǐng)求轉(zhuǎn)到你的網(wǎng)站

優(yōu)點(diǎn)

安裝配置簡(jiǎn)單、報(bào)表清晰，可自主操作，大公司產(chǎn)品保障，出現(xiàn)誤殺幾率極少

弊端 1）有繞過的風(fēng)險(xiǎn) WAF對(duì)網(wǎng)站的保護(hù)主要是通過反向代理來實(shí)現(xiàn)，如果不經(jīng)過這個(gè)代理，自然就無法防護(hù)網(wǎng)站，所以，攻擊者已知網(wǎng)站的源服務(wù)器IP是可以不經(jīng)過WAF來實(shí)現(xiàn)攻擊的，所以安裝防護(hù)前必須隱藏好源服務(wù)器IP或者給服務(wù)器換個(gè)新IP再用百度云加速隱藏起來。

02

web服務(wù)器端區(qū)分攻擊者與正常訪客

通過分析網(wǎng)站日志，基本可以分辨出哪個(gè)IP是CC攻擊的 例如普通瀏覽者訪問一個(gè)網(wǎng)頁，必定會(huì)連續(xù)抓取網(wǎng)頁的HTML、CSS、JS和圖片等一系列相關(guān)文件，而CC攻擊是通過程序來抓取網(wǎng)頁，僅僅只會(huì)抓取一個(gè)URL地址的文件，不會(huì)抓取其他類型的文件 所以通過辨別攻擊者的IP，進(jìn)行屏蔽，就可以起到很好的防范效果

03

網(wǎng)站內(nèi)容靜態(tài)化

靜態(tài)內(nèi)容可以極大程度的減少系統(tǒng)資源消耗，也就解決了攻擊者想要讓服務(wù)器資源耗盡的目的，所以我們?nèi)绻阆胪茝V某一產(chǎn)品，比如做百度競(jìng)價(jià)的，做一個(gè)單頁安全性比動(dòng)態(tài)網(wǎng)頁高。除了DDOS攻擊，CC攻擊是很難讓服務(wù)器掛掉的。

04

限制IP連接數(shù)

一般正常的瀏覽者肯定不會(huì)在一秒內(nèi)連續(xù)多次極快的訪問同一個(gè)頁面，可以配置web服務(wù)器，限定ip訪問頻率，就像百度云加速就有IP頻率限制功能，可以起到一定的作用。

05

限制代理的訪問

因?yàn)橐话愕拇矶紩?huì)在HTTP頭中帶X_FORWARDED_FOR字段，但也有局限，有的代理的請(qǐng)求中是不帶該字段的，另外有的客戶端確實(shí)需要代理才能連接目標(biāo)服務(wù)器，這種限制就拒絕了這類合法客戶

防護(hù)方式有很多，這里只列了幾個(gè)常用的，想要徹底解決CC攻擊問題，可以詳細(xì)咨詢主機(jī)吧，我們有高防CDN、高防IP、高防服務(wù)器均可有效防御CC攻擊。