全面了解CC攻击和防范策略

前言

“ CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。”

什么是CC攻击？

CC攻击前身是一个名为Fatboy的攻击程序，而之所以后来人们会称之为CC，也叫HTTP-FLOOD，是因为DDoS攻击发展的初期阶段，绝大部分DDoS攻击都能被业界熟知的“黑洞”（Collapsar，一种安全防护产品）所抵挡，CC攻击的诞生就是为了直面挑战黑洞。所以Challenge Collapsar（挑战黑洞）=CC攻击，如此而来。

CC攻击是针对Web服务在OSI协议第七层协议发起的攻击，攻击者极力模仿正常用户的网页请求行为，发起方便、过滤困难，极其容易造成目标服务器资源耗尽无法提供服务。

CC攻击的种类

CC攻击的种类有三种：直接攻击、肉鸡攻击、僵尸攻击、代理攻击。

直接攻击：主要针对有重要缺陷的WEB应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。

肉鸡攻击：一般是黑客使用CC攻击软件，控制大量肉鸡，肉鸡可以模拟正常用户来访问网站，能够伪造合法数据包请求，通过大量肉鸡的合法访问来消耗服务器资源。

僵尸攻击：有点类似于DDOS攻击了，僵尸攻击通常是网络层面的DDoS攻击，WEB应用程序层面上已经无法防御。

代理攻击(常见)：CC攻击者一般会操作一批代理服务器，比方说100个代理，然后每个代理同时发出10个请求，这样WEB服务器同时收到1000个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时WEB服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，这时就出现页面打开极其缓慢或者白屏。

CC攻击的目标

CC攻击（Challenge Collapsar）主要针对网络服务和应用，尤其是那些对外提供服务的网站和在线平台。这种攻击方式的主要目标包括：

网站和Web应用：

公共可访问的网站和Web应用，尤其是流量大、用户多的网站，是CC攻击的常见目标。这包括电子商务网站、新闻门户、社交媒体平台、政府网站等。

API端点：

提供外部服务的API端点也可能成为CC攻击的目标。攻击者可能针对特定的API功能发起攻击，尤其是那些处理复杂或敏感数据的端点。

登录页面和表单：

网站的登录页面和各种提交表单（如搜索框、反馈表、注册页面等）由于需要进行用户身份验证或数据处理，常常成为CC攻击的焦点。

基础设施组件：

包括服务器、负载均衡器和数据库在内的基础设施组件，尤其是那些关键的、负载较高的组件，也可能是CC攻击的目标。

云服务和平台：

使用云服务和平台的企业和应用也可能成为CC攻击的目标，特别是当攻击者试图利用云资源的弹性特性来增加攻击效果时。

金融机构和支付网关：

金融机构、在线支付平台和交易网站等，由于涉及金钱交易，也是CC攻击的高风险目标。

政府和教育机构网站：

政府网站和教育机构的在线服务，由于其公共性质和服务重要性，也可能成为攻击者的目标。

CC攻击的目标往往是那些对外提供重要服务、拥有大量用户或处理敏感信息的网络实体。攻击者的目的通常是通过耗尽这些服务的资源来干扰其正常运作，从而达到拒绝服务的效果。

CC攻击的影响

CC攻击（Challenge Collapsar）对目标网站或服务的影响可以是深远和破坏性的，主要包括以下几个方面：

服务中断：

最直接的影响是服务中断。攻击可能导致目标网站或应用服务器过载，无法处理合法用户的请求，从而使服务部分或完全不可用。

性能下降：

即使网站或服务没有完全崩溃，攻击也可能导致性能显著下降，如加载时间变长、响应迟缓。

损害用户体验：

由于服务中断或性能下降，用户体验受到严重影响。这可能导致用户不满和流失，特别是对于电子商务网站来说尤其严重。

经济损失：

对于商业网站，服务中断意味着直接的经济损失，包括丢失的销售收入和可能的赔偿费用。

品牌和声誉损害：

长时间的服务中断或频繁的攻击会损害企业或组织的品牌形象和市场信誉。

资源浪费：

企业需要投入额外资源来应对和缓解攻击，如增加带宽、购买额外的硬件或服务、增加安全防护措施等。

安全风险：

虽然CC攻击本身主要是服务拒绝，但它也可能掩盖更严重的安全威胁，如数据泄露或系统入侵。

合规性和法律问题：

对于处理敏感数据的组织，如金融机构或医疗服务提供商，攻击可能导致合规性问题，甚至引发法律纠纷。

技术挑战：

组织可能需要投入大量技术资源来增强系统的抗攻击能力，包括升级现有的硬件和软件，实施复杂的安全策略。

管理和操作压力：

管理层和IT团队可能面临巨大的压力，不仅要应对攻击本身，还要处理攻击后果，如客户支持、公关应对等。

总的来说，CC攻击不仅对目标网站或服务的技术层面造成影响，还可能对企业的财务、声誉和运营带来严重后果。因此，有效的预防和应对措施对于保护企业免受CC攻击的影响至关重要。

如何判断CC攻击

CC攻击是通过大量的代理IP进行访问网站，从而达到网站服务器无法负荷最终瘫痪的过程。要想判断CC攻击，方法有多种：

如果发现网站在短时间内cpu直线上升，而且网站打开变慢甚至502错误，那可能是遭受cc攻击了。

使用命令行

查看系统日志

通过检查日志，判断出cc攻击者的ip，进而对ip进行屏蔽限制。

如何防护CC攻击

针对IP进行封禁，例如一个IP如果在一秒内请求大于100的，可以封禁掉（一般肉鸡的话，都N多IP，封禁不过来的）

PS：德迅云安全提供区域封禁的措施

针对被高频访问的URL做人机验证，譬如定制为10秒内访问超过100次的，需要进行真人验证，有效防止被刷（也需要你有足够的宽带，如果宽带不够早就卡死了）

使用安全加速SCDN，隐藏服务器源IP，任何异常数据都是节点方面承载，阻断拦截异常数量，正常用户数据回源到源服务器上，保障业务安全

PS：需要详细了解的话，联系我哦

网站页面静态化，网站页面静态化可以较大程度的减少系统资源消耗，从而达到提高抗系统抗攻击能力(业务不同，成本高)。

更改Web端口，通常情况Web服务器都是通过80端口提供对外服务，所以黑客发起攻击的默认端口也是80端口，那么修改Web端口，可以起到防护CC攻击的目的。

取消域名绑定，黑客发起攻击时，很可能使用攻击工具设定攻击对象为域名，然后实施攻击，取消域名绑定后，可以让CC攻击失去目标，Web服务器的资源占用率也能够迅速恢复正常，因为通过IP还是可以正常访问的，所以对针对IP的CC攻击取消域名绑定是没用的。

完善日志，要有保留完整日志的习惯，通过日志分析程序，能够尽快判断出异常访问，同时也能收集有用信息，比如发现单一IP的密集访问，特定页面的URL请求激增等等。

更改域名解析，正常的cc攻击都是针对域名而发起的，这时我们可以把域名解析更改为127.0.0.1这个ip地址上，这个ip的作用是回送地址，如果把域名解析到这个ip上，cc攻击就很有可能会直接回流到攻击者自己的服务器上。

其他CC攻击防御思路

因为CC攻击通过工具软件发起，而普通用户通过浏览器访问，这其中就会有某些区别。想办法对这二者作出判断，选择性的屏蔽来自机器的流量即可。

初级

普通浏览器发起请求时，除了要访问的地址以外，Http头中还会带有Referer，UserAgent等多项信息。遇到攻击时可以通过日志查看访问信息，看攻击的流量是否有明显特征，比如固定的Referer或UserAgent，如果能找到特征，就可以直接屏蔽掉了。

中级

如果攻击者伪造了Referer和UserAgent等信息，那就需要从其他地方入手。攻击软件一般来说功能都比较简单，只有固定的发包功能，而浏览器会完整的支持Http协议，我们可以利用这一点来进行防御。

首先为每个访问者定义一个字符串，保存在Cookies中作为Token，必须要带有正确的Token才可以访问后端服务。当用户第一次访问时，会检测到用户的Cookies里面并没有这个Token，则返回一个302重定向，目标地址为当前页面，同时在返回的Http头中加入set cookies字段，对Cookies进行设置，使用户带有这个Token。

客户端如果是一个正常的浏览器，那么就会支持http头中的set cookie和302重定向指令，将带上正确的Token再次访问页面，这时候后台检测到正确的Token，就会放行，这之后用户的Http请求都会带有这个Token，所以并不会受到阻拦。

客户端如果是CC软件，那么一般不会支持这些指令，那么就会一直被拦在最外层，并不会对服务器内部造成压力。

高级

高级一点的，还可以返回一个网页，在页面中嵌入JavaScript来设置Cookies并跳转，这样被伪造请求的可能性更小。

CC攻击和DDoS攻击的区别

原理不同

DDoS攻击就是分布式的拒绝服务攻击，属于资源消耗类攻击：通过大量请求消耗正常的带宽和协议栈处理资源的能力，从而达到服务端无法正常工作的目的。

CC攻击算得上是应用层的DDoS，属于服务消耗类攻击，服务消耗类攻击不需要太大的流量，它主要是针对服务的特点进行精确定点打击。而且是经过TCP握手协议之后，CC的攻击原理很简单，就是模拟多个用户对一些资源消耗较大的页面不断发出请求，从而达到消耗服务器资源的目的，当服务器一直都有处理不完的大量数据请求时，服务器资源浪费过多，就会造成堵塞，而正常用户的访问也会被终止，网站陷入瘫痪状态。