什么是CC攻擊

CC攻擊（Challenge Collapsar）是DDOS（分布式拒絕服務(wù)）的一種，是一種常見的網(wǎng)站攻擊方法，攻擊者通過代理服務(wù)器或者肉雞向受害主機(jī)不停訪問，造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰 CC攻擊利用代理服務(wù)器向網(wǎng)站發(fā)送大量需要較長計算時間的URL請求，如數(shù)據(jù)庫查詢等，導(dǎo)致服務(wù)器進(jìn)行大量計算而很快達(dá)到自身的處理能力而形成DOS

而攻擊者一旦發(fā)送請求給代理后就主動斷開連接，因為代理并不因為客戶端這邊連接的斷開就不去連接目標(biāo)服務(wù)器，因此攻擊機(jī)的資源消耗相對很小，而從目標(biāo)服務(wù)器看來，來自代理的請求都是合法的

CC攻擊示例

例如攻擊者成功黑了一個訪問量巨大的網(wǎng)站首頁，在頁面中添加了100個如下的代碼： <iframe src=http://aaa.com border=”0″ width=”0″ height=”0″></iframe> http://aaa.com 就是攻擊的目標(biāo)網(wǎng)站 效果就是每當(dāng)有人訪問了這個被黑的首頁，就有100個http://aaa.com請求 由于這個被黑的首頁訪問量極大，所以http://aaa.com的壓力可想而知 這個方式還是有點復(fù)雜，需要黑掉某網(wǎng)站，現(xiàn)在方便了，免費的代理非常多，所以CC的主要手段就變?yōu)槭褂么罅看矸?wù)器發(fā)起攻擊

CC與DDOS的區(qū)別

DDoS是針對IP的攻擊，而CC攻擊的是網(wǎng)頁 DDoS可以用硬件防火墻來過濾攻擊，CC攻擊本身的請求就是正常的請求，硬件防火墻對他起不到很好的防御效果

CC攻擊的常用防護(hù)方式

01

云WAF

例如：百度云加速 思路很簡單，就是用戶訪問你的域名時，會經(jīng)過這類產(chǎn)品的代理掃描，發(fā)現(xiàn)問題直接攔下，沒問題的話就把用戶請求轉(zhuǎn)到你的網(wǎng)站

優(yōu)點

安裝配置簡單、報表清晰，可自主操作，大公司產(chǎn)品保障，出現(xiàn)誤殺幾率極少

弊端 1）有繞過的風(fēng)險 WAF對網(wǎng)站的保護(hù)主要是通過反向代理來實現(xiàn)，如果不經(jīng)過這個代理，自然就無法防護(hù)網(wǎng)站，所以，攻擊者已知網(wǎng)站的源服務(wù)器IP是可以不經(jīng)過WAF來實現(xiàn)攻擊的，所以安裝防護(hù)前必須隱藏好源服務(wù)器IP或者給服務(wù)器換個新IP再用百度云加速隱藏起來。

02

web服務(wù)器端區(qū)分攻擊者與正常訪客

通過分析網(wǎng)站日志，基本可以分辨出哪個IP是CC攻擊的 例如普通瀏覽者訪問一個網(wǎng)頁，必定會連續(xù)抓取網(wǎng)頁的HTML、CSS、JS和圖片等一系列相關(guān)文件，而CC攻擊是通過程序來抓取網(wǎng)頁，僅僅只會抓取一個URL地址的文件，不會抓取其他類型的文件 所以通過辨別攻擊者的IP，進(jìn)行屏蔽，就可以起到很好的防范效果

03

網(wǎng)站內(nèi)容靜態(tài)化

靜態(tài)內(nèi)容可以極大程度的減少系統(tǒng)資源消耗，也就解決了攻擊者想要讓服務(wù)器資源耗盡的目的，所以我們?nèi)绻阆胪茝V某一產(chǎn)品，比如做百度競價的，做一個單頁安全性比動態(tài)網(wǎng)頁高。除了DDOS攻擊，CC攻擊是很難讓服務(wù)器掛掉的。

04

限制IP連接數(shù)

一般正常的瀏覽者肯定不會在一秒內(nèi)連續(xù)多次極快的訪問同一個頁面，可以配置web服務(wù)器，限定ip訪問頻率，就像百度云加速就有IP頻率限制功能，可以起到一定的作用。

05

限制代理的訪問

因為一般的代理都會在HTTP頭中帶X_FORWARDED_FOR字段，但也有局限，有的代理的請求中是不帶該字段的，另外有的客戶端確實需要代理才能連接目標(biāo)服務(wù)器，這種限制就拒絕了這類合法客戶

防護(hù)方式有很多，這里只列了幾個常用的，想要徹底解決CC攻擊問題，可以詳細(xì)咨詢主機(jī)吧，我們有高防CDN、高防IP、高防服務(wù)器均可有效防御CC攻擊。