CC攻擊是目前國際上攻擊成本最低的一種方式，往往黑客只需要一個(gè)簡(jiǎn)單的CC攻擊軟件就可以對(duì)一個(gè)小型網(wǎng)站造成嚴(yán)重的損失，輕的打開慢，卡，嚴(yán)重的會(huì)使網(wǎng)站服務(wù)器直接卡死。因?yàn)镃C攻擊成本低，所以CC攻擊是目前國內(nèi)最常見的攻擊方式。

簡(jiǎn)單的CC攻擊往往是通過多個(gè)代理IP對(duì)網(wǎng)站進(jìn)行大量請(qǐng)求，從而導(dǎo)致服務(wù)器資源占滿，引起網(wǎng)站卡死，這類攻擊防御起來非常簡(jiǎn)單，一般的防火墻如安全狗都是可以防護(hù)的，只需要對(duì)IP訪問頻率進(jìn)行限制即可。

但如果黑客的代理IP較多，那就很難防了，因?yàn)閷?duì)方一個(gè)IP可以設(shè)置成一分鐘訪問一次或者幾十秒請(qǐng)求一次，這個(gè)頻率基本上和正常用戶一樣了，防火墻是無法進(jìn)行攔截了。

有些防火墻可以通過User-Agent過濾，即過濾某些瀏覽器、蜘蛛請(qǐng)求，但這很容易誤傷，而且很多攻擊都是使用正常瀏覽器請(qǐng)求的，所以并不能有效解決CC攻擊問題。

那么如何有效解決CC攻擊呢？

主機(jī)吧這里推薦使用百度云加速高防CDN進(jìn)行防護(hù)，百度云加速不僅可以有效防護(hù)DDoS攻擊，同時(shí)對(duì)CC攻擊防護(hù)也是非常有效果。百度云加速提供四到七層的DDoS攻擊防護(hù)，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式， 通過分布式高性能防火墻+精準(zhǔn)流量清洗+CC防御+WEB攻擊攔截，組合過濾精確識(shí)別，有效防御各種類型攻擊。

接入百度云加速后即可使用以下功能進(jìn)行防護(hù)攔截。

WAF篇

WAF（Web Application Firewall）網(wǎng)站應(yīng)用防火墻，簡(jiǎn)單點(diǎn)講，就是保護(hù)您網(wǎng)站避免被入侵的一套防火墻系統(tǒng)。云加速的防火墻規(guī)則由國內(nèi)頂尖的云加速安全團(tuán)隊(duì)制定，能防御市面上超過99%常見的SQL注入、XSS、Web服務(wù)器漏洞、應(yīng)用程序漏洞以及文件訪問控制等等系列的滲透攻擊，有效的避免您的網(wǎng)站遭到入侵。

下面為WAF選擇展開后的功能界面：

• Web應(yīng)用防火墻開關(guān) 關(guān)閉后WAF功能將失效。
• 高級(jí)定制 點(diǎn)開后會(huì)發(fā)現(xiàn)整個(gè)WAF規(guī)則劃分成了一個(gè)個(gè)模塊，網(wǎng)站有特殊功能的用戶可以自行選擇使用哪些模塊。

凡是出現(xiàn)驗(yàn)證碼頁面的攔截是基礎(chǔ)規(guī)則攔截，基礎(chǔ)規(guī)則在關(guān)閉WAF功能開關(guān)后依然是有效的，只能通過加IP白名單的方式解決。

• 安全驗(yàn)證有效期 很多功能都存在安全驗(yàn)證，在最終用戶完成安全驗(yàn)證后的多久以內(nèi)我們認(rèn)為是安全的？這里需要配置有效期，如下圖，多個(gè)時(shí)間可以選擇：

• 瀏覽器檢查 存在非瀏覽器請(qǐng)求方式的小伙伴請(qǐng)注意了，如果您網(wǎng)站有非瀏覽器請(qǐng)求，請(qǐng)關(guān)閉該功能。
  

  訪問出現(xiàn)瀏覽器檢查的5秒頁面，是因?yàn)槟_啟了ADS中CC防護(hù)的強(qiáng)力防護(hù)級(jí)別，在這個(gè)級(jí)別會(huì)對(duì)每一次請(qǐng)求進(jìn)行識(shí)別，如果您不需要功能，請(qǐng)將CC防護(hù)調(diào)整到其他級(jí)別即可。

• 郵件地址混淆 開啟該功能后，在您網(wǎng)頁上所留的郵箱可以避免被爬蟲掃描識(shí)別。
• 防盜鏈 開啟后，您網(wǎng)站上的圖片資源被盜鏈后，引用位置會(huì)出現(xiàn)403的顯示。開啟防盜鏈功能后，如果有部分網(wǎng)站是您許可鏈接的，那么白名單中添加域名即可。

通過以上的介紹，您現(xiàn)在也許已經(jīng)了解云加速的全部WAF功能了。

IP防火墻篇

自定義IP防護(hù)策略，個(gè)性化安全服務(wù)。通過添加IP黑名單、IP白名單、強(qiáng)力防護(hù)名單，您可以對(duì)來自特定IP或IP段的請(qǐng)求進(jìn)行攔截、放行或強(qiáng)力防護(hù)，從而實(shí)現(xiàn)IP級(jí)別的防護(hù)策略。

IP防火墻如下圖，具有以下幾個(gè)功能和特點(diǎn)

• IP黑名單 可以禁止哪些IP來訪問您的網(wǎng)站，目前支持B段和C段的IP防護(hù)，且支持輸入0/24、0/16 進(jìn)行網(wǎng)段屏蔽，被屏蔽后的用戶訪問會(huì)報(bào)1006-1008錯(cuò)誤，如下圖。

• IP白名單 有兩種情況需要添加白名單，第一種是部分用戶會(huì)通過云加速對(duì)網(wǎng)站進(jìn)行頁面修改等高風(fēng)險(xiǎn)操作時(shí)，會(huì)被云加速給阻斷。當(dāng)您在確認(rèn)用戶操作是合法的情況下，請(qǐng)將他的IP地址加入到IP白名單進(jìn)行放行；

第二種是用戶出口IP在互聯(lián)網(wǎng)上有太多的不良記錄，用戶的IP如果匹配上了黑名單，那么會(huì)彈出驗(yàn)證碼框，來確認(rèn)他是否是惡意掃描以及攻擊，如果您認(rèn)為用戶IP是一個(gè)正常的訪問，也需要加白名單。

下面圖列分別是操作攔截以及黑名單攔截：

• 強(qiáng)力防護(hù)名單 有一些IP無論從訪問頻率還是行為都比較可以，但是您又擔(dān)心誤傷，這個(gè)功能就是為了解決上述問題而設(shè)計(jì)的，您可以輸入IP或者是網(wǎng)段，只針對(duì)您輸入的這部分進(jìn)行強(qiáng)力防護(hù)。

嚴(yán)格意義來講這個(gè)功能主要是ADS在發(fā)揮作用，但是為了用戶更直觀的操作，我們將他固定到了這里。

ADS篇

ADS 高級(jí)攻擊防御提供了四到七層的DDoS攻擊防護(hù)，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式， 通過分布式高性能防火墻+精準(zhǔn)流量清洗+CC防御+WEB攻擊攔截，組合過濾精確識(shí)別，有效防御各種類型攻擊。

基礎(chǔ)防護(hù)

• DDoS防護(hù) 為域名提供四層的流量攻擊防護(hù)，具體防護(hù)量級(jí)和域名的套餐類型相關(guān)。目前該功能無法關(guān)閉，因?yàn)楣艉蟮南到y(tǒng)策略加載需要靠他來完成。
• CC防護(hù) 在CC防護(hù)上，我們主要是以常駐規(guī)則和實(shí)時(shí)動(dòng)態(tài)規(guī)則來進(jìn)行防御，分為了強(qiáng)力、高、中、低四個(gè)等級(jí)。
  

  強(qiáng)力防護(hù)：建議僅在正在受到CC攻擊且防御不佳時(shí)開啟

  高：系統(tǒng)會(huì)對(duì)所有2周內(nèi)產(chǎn)生可疑行為的用戶進(jìn)行選擇性攔截

  中：系統(tǒng)會(huì)智能識(shí)別出可疑請(qǐng)求，并且自動(dòng)選擇合適的認(rèn)證方式（推薦）

  低：系統(tǒng)會(huì)對(duì)本次攻擊中產(chǎn)生可疑行為的用戶進(jìn)行攔截

如果在高級(jí)別時(shí)用戶服務(wù)器已經(jīng)超負(fù)荷，建議拉到強(qiáng)力模式。強(qiáng)力防護(hù)這個(gè)等級(jí)，會(huì)對(duì)每一次的訪問進(jìn)行驗(yàn)證，驗(yàn)證有效期由WAF規(guī)則中的“安全驗(yàn)證有效期”來進(jìn)行控制。

整個(gè)ADS操作很簡(jiǎn)單，對(duì)于高端用戶，建議配合自定義規(guī)則來使用。

高級(jí)防護(hù)

除了基礎(chǔ)防護(hù)外，云加速還為國內(nèi)用戶提供了更多的高級(jí)防護(hù)。

• 停用海外節(jié)點(diǎn) 停止對(duì)該域名分配海外服務(wù)節(jié)點(diǎn)
• 超級(jí)清洗中心 使用企業(yè)級(jí)云清洗中心服務(wù)，更快更穩(wěn)定，在被攻擊情況下開啟
• 海外IP防護(hù) 一鍵開啟或停止對(duì)海外IP的訪問啟用防護(hù)策略
• 設(shè)置IP訪問頻率 設(shè)置單個(gè)IP的訪問頻率，超出限制后需通過驗(yàn)證才能繼續(xù)訪問
• 源站保護(hù) 設(shè)置訪問源站頻率的閾值，超出后站點(diǎn)全部流量需要通過驗(yàn)證后才能繼續(xù)訪問
• URL黑名單 系統(tǒng)將對(duì)已添加的url的訪問啟用驗(yàn)證