每天一技：全面了解CC攻击和防范策略

CC攻击是什么

现实生活中的例子：

有一个商家正在举行一个活动，凡是参与者都会获得奖品，但是参与者在获得奖品以后用另一个身份继续参与活动，从而造成了商家资源的流失，超过了最大预期峰值，这样就会使活动无法继续进行。

实际举例

假如我们的服务器的CPU最多能处理100个连接请求，只是普通的访问网站，服务器就会正常运行。

如果有人通过工具，对服务器发送了数以万计的连接请求，服务器CPU的负载将达到百分百。

如此一来，服务器就会卡死，也就是我们常说的网站被攻击。

CC攻击原理

步骤 ：

1. 黑客通过"CC攻击工具"生成木马文件，广播到互联网上
2. 当有用户下载并运行木马文件将成为"肉鸡"(中了病毒的电脑)
3. 这些的"肉鸡"在接收到了攻击指令以后对目标网(xxx.com)反复进行恶意请求
4. 大量的恶意请求造成服务器的CPU压力过大，导致服务器宕机(常说的死机，电脑卡死，自动关机)
5. 最终结果网站无法在为用户提供正常的服务(无法打开网页)

CC攻击有哪些特点？

1. CC攻击的请求都是模拟真实的有效请求，所以不能被拒绝；
2. 用来发起CC攻击的IP都是真实而分散的，所以很难溯源；
3. CC攻击的数据包都是模拟真实用户的正常数据包；
4. CC攻击一般是针对网页攻击，服务器可以连接，ping没问题，但网页无法访问。

CC攻击的种类

CC攻击的种类有三种：直接攻击、肉鸡攻击、僵尸攻击、代理攻击。

1. **直接攻击：**主要针对有重要缺陷的WEB应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。

2. **肉鸡攻击：**一般是黑客使用CC攻击软件，控制大量肉鸡，肉鸡可以模拟正常用户来访问网站，能够伪造合法数据包请求，通过大量肉鸡的合法访问来消耗服务器资源。

3. 僵尸攻击：有点类似于DDOS攻击了，僵尸攻击通常是网络层面的DDoS攻击，WEB应用程序层面上已经无法防御。

4、**代理攻击(常见)：**CC攻击者一般会操作一批代理服务器，比方说100个代理，然后每个代理同时发出10个请求，这样WEB服务器同时收到1000个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时WEB服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，这时就出现页面打开极其缓慢或者白屏。

如何判断CC攻击？

CC攻击是通过大量的代理IP进行访问网站，从而达到网站服务器无法负荷最终瘫痪的过程。要想判断CC攻击，方法有多种：

1. 如果发现网站在短时间内cpu直线上升，而且网站打开变慢甚至502错误，那可能是遭受cc攻击了。

1. 查看系统日志

通过检查日志，判断出cc攻击者的ip，进而对ip进行屏蔽限制。

为什么某度、Google(谷歌)等网站不会被攻击？

会被攻击，并且是大规模的攻击，但是做到了以下几点

1. 程序代码更规范
2. 服务器硬件配置非常高
3. 缓存命中率更高
4. 防火墙策略严谨
5. 负载均衡技术
6. SCDN内容分发技术

因此可以轻松抵御大规模攻击

整个过程

过程解读

1. 用户访问网站发送请求
2. 服务器接收请求
3. 判断是否命中缓存
4. 命中-->使用缓存数据，未命中-->分析用户行为

合法请求处理方式

返回200状态码，正常解析

恶意请求处理方式

1. 屏蔽攻击源IP
2. 将用户主机IP拉入黑名单
3. 分为暂时性拉黑，永久性拉黑
4. 限制请求频率
5. 对用户的访问频率进行限制，
6. 比如每秒可以访问多少次
7. 每分钟可以访问多少次

负载均衡

如果当前服务器容纳的连接达到峰值导致CPU压力过大

WEB服务端会将用户请求的连接转发至其他服务器上，达到负载均衡效果

如何防御CC攻击？

1. 针对IP进行封禁，例如一个IP如果在一秒内请求大于100的，可以封禁掉（一般肉鸡的话，都N多IP，封禁不过来的）

2. 针对被高频访问的URL做人机验证，譬如定制为10秒内访问超过100次的，需要进行真人验证，有效防止被刷（也需要你有足够的宽带，如果宽带不够早就卡死了）

3. 网站页面静态化，网站页面静态化可以较大程度的减少系统资源消耗，从而达到提高抗系统抗攻击能力(业务不同，成本高)。

4. 更改Web端口，通常情况Web服务器都是通过80端口提供对外服务，所以黑客发起攻击的默认端口也是80端口，那么修改Web端口，可以起到防护CC攻击的目的。

5. 取消域名绑定，黑客发起攻击时，很可能使用攻击工具设定攻击对象为域名，然后实施攻击，取消域名绑定后，可以让CC攻击失去目标，Web服务器的资源占用率也能够迅速恢复正常，因为通过IP还是可以正常访问的，所以对针对IP的CC攻击取消域名绑定是没用的。

6. 完善日志，要有保留完整日志的习惯，通过日志分析程序，能够尽快判断出异常访问，同时也能收集有用信息，比如发现单一IP的密集访问，特定页面的URL请求激增等等。

以上功能操作复杂，需要做到以上要求，操作繁琐，然而使用安全加速SCDN产品，包含以上所功能，一键式接入永久解决问题

优势以及包含功能

1. Web攻击防护
   1. OWASP TOP 10威胁防护

有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞，分析漏洞原理，并制定安全防护策略，及时进行防护。

1. 1. 智能语义解析引擎

提供智能语义解析功能，在漏洞防御的基础上，增强SQL注入和XXS攻击检测能力。

1. 1. AI检测和行为分析

通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型，对用户多请求的多元因子进行智能分析，有效提高检出率，降低误报率；通过信息孤岛、行为检测分析，识别恶意攻击源，保护网站安全。

1. 应用层DDoS防护
   1. CC、HTTP Flood攻击防御

威胁情报库 ：通过大数据分析平台，实时汇总分析攻击日志，提取攻击特征并进行威胁等级评估，形成威胁情报库。
个性化策略配置 ：如请求没有命中威胁情报库中的高风险特征，则通过IP黑白名单、访问频率控制等防御攻击。
日志自学习 ：实时动态学习网站访问特征，建立网站的正常访问基线。

人机校验：当请求与网站正常访问基线不一致时，启动人机校验(如JS验证、META验证等)方式进行验证，拦截攻击。

1. 1. 慢连接攻击防御

对Slow Headers攻击，通过检测请求头超时时间、最大包数量阈值进行防护。

对Slow Post攻击，通过检测请求小包数量阈值进行防护。

1. 合规性保障
   1. 自定义防护规则

用户可以对HTTP协议字段进行组合，制定访问控制规则，支持地域、请求头、请求内容设置过滤条件，支持正则语法。

1. 1. 网页防篡改

采用强制静态缓存锁定和更新机制，对网站特定页面进行保护，即使源站相关网页被篡改，依然能够返回给用户缓存页面。

1. 1. 访问日志审计

记录所有用户访问日志，对访问源进行TOP N，提供趋势分析，可以根据需要提供日志下载功能。

1. 1. 数据防泄漏

对response报文进行处理，对响应内容和响应进行识别和过滤，根据需要设置数据防泄漏规则，保护网站数据安全。

1. HTTP流量管理
   1. 支持HTTP流量管理

可以设置源IP或者特点接口访问速率，对超过速率的访问进行排队处理，减缓服务器压力。

1. 1. 请求头管理

可以根据业务需要对请求头和响应头进行处理，可进行请求头替换或者敏感信息隐藏设置。

1. 安全可视化
   1. 四大安全分析报表

默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表，满足业务汇报和趋势分析需求。

1. 1. 实时数据统计

提供基于均值和峰值带宽统计信息，提供攻击带宽和正常占比，随时关注业务状况。提供多种组件，了解业务监控和核心指标变化情况。

1. 1. 全量日志处理

提供全量日志查询和下载功能，可以通过OpenAPI接口获取实时日志或离线日志信息。