《CC 攻击：威胁与应对之策》(图文)

CC 攻击作为 DDoS 攻击的一种子类型，对网络安全构成了严重威胁。CC 攻击的目标明确，即消耗攻击目标的各种资源，使服务器陷入瘫痪状态。
CC 攻击主要是通过控制大量的 “僵尸” 计算机或者利用代理服务器、肉鸡等，向目标服务器发送大量貌似合法的请求。这些请求会占据服务器的资源，使其无法正常处理合法用户的请求。例如，当一个网页访问的人数特别多的时候，打开网页就会变慢，而 CC 攻击就是模拟多个用户不停地进行访问那些需要大量数据操作的页面，造成服务器资源的浪费。
CC 攻击可能导致服务器的 CPU 长时间处于 100% 的状态。在这种情况下，系统待处理的数据队列被无限加长，而客户端在有效的请求时间内又得不到响应，从而会进行重试，进一步加重系统的负担。比如，系统每秒能处理 1000QPS，而现在待处理的队列已经达到了 30000QPS，这意味着系统需要 30 秒才能处理完队列中的所有请求，而客户也至少需要 30 秒才能得到响应。正常情况下 1 秒内可以完成的操作，现在却需要等待很长时间，甚至可能导致网络拥塞，正常的访问被中止。
此外，CC 攻击还会对服务器的内存造成压力。当队列越来越大，目标计算机的内存耗尽时，会进一步引发程序的崩溃。总的来说，CC 攻击通过消耗服务器的资源，给网络安全带来了极大的挑战。

二、常见的 CC 攻击平台

（一）专业的压力测试平台

目前市场上存在一些专业的压力测试平台，比如 Hping、Grinder、Pylot、Web Capacity Analysis Tool (WCAT) 等。这些平台为用户提供多种模式的正规压力测试服务。
以 Hping 为例，它是一个基于命令行，编码和解析的 TCP/IP 协议的开源工具，可用于发动 ICMP、SYN 和 UDP 洪水攻击等。Grinder 则是一个开源的 JVM 负载测试框架，通过很多负载注射器来为分布式测试提供便利，支持用于执行测试脚本的 Jython 脚本引擎 HTTP 测试可通过 HTTP 代理进行管理。
Pylot 是一款开源的测试 web service 性能和扩展性的工具，它运行 HTTP 负载测试，对容量计划、确定基准点、分析以及系统调优都很有用处。WCAT 是一种轻量级负载生成实用工具，不仅能够重现对 Web 服务器（或负载平衡服务器场）的脚本 HTTP 请求，同时还可以收集性能统计数据供日后分析之用。
这些专业的压力测试平台操作简单，功能稳定，有严格的 SLA 质量要求和不同的定价套餐，能够满足不同用户的需求。

（二）在线 DDOS 攻击平台

在线 DDOS 攻击平台有很多，其中一些平台不仅提供专业人才培训项目和数字娱乐领域技术标准研究，还涉及到 DDOS 攻击相关服务。
这些平台的特点之一是具有多种攻击方式，如 UDP 洪泛、TCP 洪泛、ICMP 洪泛等。以某在线 DDOS 攻击平台为例，其 DDoS 契约插件与其他插件一样，需要被安装到服务器上进行使用。安装完成后，可以设置 DDoS 契约插件的阈值，以及想要执行的保护行为。当攻击发生时，插件会根据设定的策略来应对攻击，然后将结果反馈给用户。
注册方式通常比较简单，一般在平台官网按照指引进行操作即可。例如，在 Kali 中打开终端，使用特定命令下载 HULK 工具等。
攻击模式方面，在线 DDOS 攻击平台可以发起多种类型的攻击。比如 DDoS 攻击是指采用分布式方式对目标服务器或网络进行大量请求的攻击行为，其目的是使得目标服务器或网络陷入瘫痪状态，导致服务不可用或严重缓慢。攻击者利用合法用户的能力和网络可靠性，控制一批计算机并对目标网络端口进行恶意级连请求，使目标系统无法执行合法用户的请求。同时，平台还可以针对网页攻击，服务器可以连接，ping 没问题，但网页无法访问。

三、公众号上的 CC 攻击案例

博客园作为一个 IT 技术博客平台，近期遭受了严重的 DDoS + CC 攻击。这次攻击展现出了极高的水平和专业性。攻击者动用了大量国内的肉鸡，对博客园采用的低成本躲避 DDoS 攻击的部署方式了如指掌，专门进行针对性攻击。
攻击发生后，博客园针对不同线路部署的所有负载均衡全部被攻击，全部被黑洞（被屏蔽）。攻击流量已超过 DDoS 基础防护的黑洞阈值，服务器的所有公网访问被屏蔽时长 20 分钟。在苦苦等待 20 分钟后，虽然阿里云解除了黑洞屏蔽，但 CC 攻击接踵而至。1 小时内网站首页被请求 300 多万次，服务器 CPU 不堪重负，博客站点依然无法访问。后来发现 CC 攻击的请求多数来自某个运营商线路，于是限制了这个线路的带宽，才勉强控制住局面，但截至发稿时，CC 攻击还在继续。
此次攻击给博客园带来了巨大的影响。首先，服务中断和访问困难给用户带来了极大的不便，正常的用户请求无法得到及时响应，网站打开速度变慢甚至无法打开。这不仅影响了用户的使用体验，还可能导致用户流失。对于依赖网站运营的博客园来说，也会造成巨大的经济损失，同时企业的声誉也受到了损害。
对于此次攻击的攻击者，人们有多种猜测。有人认为可能是同类竞争网站，为了争夺市场份额而采取这种极端手段；也有人猜测是云服务提供商，收保护费；还有人觉得是园子团队得罪了某些人，被故意攻击。然而，目前还没有确凿的证据确定攻击者的身份。
总之，博客园被攻击事件给我们敲响了警钟，网络安全问题不容忽视。在数字化时代，我们需要更加重视网络安全，采取有效的防御措施，以应对各种可能的网络攻击。

四、头条上如何防范 CC 攻击

（一）简易防御方法

1. 利用 Session 做访问计数器：利用 Session 针对每个 IP 做页面访问计数器或文件下载计数器，防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。（文件下载不要直接使用下载地址，才能在服务端代码中做 CC 攻击的过滤处理）。

2. 把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给骇客入侵带来不少麻烦。对于论坛来说，往往就需要很好的服务器才能稳定运行，因为论坛很难做到纯静态。

3. 增强操作系统的 TCP/IP 栈：Win2000 和 Win2003 作为服务器操作系统，本身就具备一定的抵抗 DDOS 攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约 10000 个 SYN 攻击包，若没有开启则仅能抵御数百个。对于 Linux 和 FreeBSD 系统，可以按照《SYN Cookies》这篇文章去做增强。

4. 服务器前端加 CDN 中转：如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实 IP，域名解析使用 CDN 的 IP，所有解析的子域名都使用 CDN 的 IP 地址。此外，服务器上部署的其他域名也不能使用真实 IP 解析，全部都使用 CDN 来解析。另外，防止服务器对外传送信息泄漏 IP 地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的 IP 地址。如果非要发送邮件，可以通过第三方代理（例如 sendcloud）发送，这样对外显示的 IP 是代理的 IP 地址。只要服务器的真实 IP 不泄露，10G 以下小流量 DDOS 的预防花不了多少钱，免费的 CDN 就可以应付得了。如果攻击流量超过 20G，那么免费的 CDN 可能就顶不住了，需要购买一个高防的盾机来应付了。

（二）防御策略

1. 取消域名绑定：一般 cc 攻击都是针对网站的域名进行攻击，对于这样的攻击我们的措施是取消这个域名的绑定，让 CC 攻击失去目标。但取消或者更改域名对于别人的访问带来了不便，对于针对 IP 的 CC 攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。

2. 域名欺骗解析：如果发现针对域名的 CC 攻击，我们可以把被攻击的域名解析到 127.0.0.1 这个地址上。我们知道 127.0.0.1 是本地回环 IP 是用来进行网络测试的，如果把被攻击的域名解析到这个 IP 上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机。

3. 更改 Web 端口：一般情况下 Web 服务器通过 80 端口对外提供服务，因此攻击者实施攻击就以默认的 80 端口进行攻击，所以，我们可以修改 Web 端口达到防 CC 攻击的目的。运行 IIS 管理器，定位到相应站点，打开站点 “属性” 面板，在 “网站标识” 下有个 TCP 端口默认为 80，我们修改为其他的端口就可以了。

4. 屏蔽 IP：我们通过命令或在查看日志发现了 CC 攻击的源 IP，就可以在防火墙中设置屏蔽该 IP 对 Web 站点的访问，从而达到防范攻击的目的。

5. 使用防护软件：个人认为使用防护软件的作用是最小的，只能拦住小型攻击，很多软件声称能有效识别攻击手段进行拦截，而大部分 cc 攻击能伪装成正常用户，还能伪装成百度蜘蛛的 ua，导致被攻击的时候防护软件要分析大量请求，而导致防护软件的占用内存升高，反而成了累赘，甚至软件自己奔溃。

6. 使用高防服务器：在一开始就选择高防的服务器租用的话，就可以省去后续因为被攻击带来的损失还有处理的成本跟精力。高防服务器主要通过硬件防护和软件防护两种方式来实现防御。硬件防护方面，高防服务器会配备高端硬件设备，如防火墙、负载均衡器、反向代理等，用于过滤和分拣访问请求，将恶意请求分离出去。软件防护方面，高防服务器会使用多种软件技术，如黑白名单、流量分析、数据包过滤等，来对网络流量进行分析，及时发现并封锁 DDoS 攻击。高防服务器的防护措施主要包括硬件防护和软件防护两个方面：硬件防护方面，高防服务器会配备高端的硬件设备，如防火墙、负载均衡器、反向代理等，在攻击发生时可以过滤掉大量的恶意请求，从而减轻服务器的压力。软件防护方面，高防服务器会采用多种先进的软件技术，如黑白名单、数据包过滤、流量识别等，来进行 CC 攻击的检测和防御。例如，采用 IP 防火墙、限制同一 IP 访问次数、限制同一用户访问等限制策略，可以有效地阻止 CC 攻击。需要注意的是，高防服务器的 CC 攻击防护效果也取决于攻击的规模和类型。一些特别大型和持续性的攻击可能会对高防服务器构成挑战，但相对于普通服务器，高防服务器的 CC 攻击防护能力更强，是保障网站安全的重要措施之一。

五、知乎上关于 CC 攻击的讨论

（一）攻击原理与危害

CC 攻击主要有直接攻击、代理攻击、肉鸡攻击等方式。直接攻击相对少见，主要针对有重要缺陷的 WEB 应用程序。代理攻击中，攻击者会操作一批代理服务器，比如 100 个代理，每个代理同时发出多个请求，使 WEB 服务器同时收到大量并发请求，正常请求被排在后面处理。肉鸡攻击则类似 DDOS 攻击，从 WEB 应用程序层面难以防御。
CC 攻击带来的危害不容小觑。首先是服务中断，服务器资源被攻击流量占据，导致无法处理正常用户请求，服务功能部分或完全不可用。例如，网站打开速度变慢，甚至无法访问。据统计，当企业网站遭受 CC 攻击后，服务器的资源被攻击流量占据，网络带宽出现拥堵，网站打开速度会降低 80% 以上。其次是经济损失，企业依赖网站运营，网站无法正常访问会导致巨大的经济损失，同时流失大量用户。有数据显示，企业网站遭受 CC 攻击后，可能会损失 30%-50% 的业务量，造成数十万甚至数百万的经济损失。最后是数据泄露风险，在攻击过程中，服务器可能被黑客入侵，导致用户数据泄露，给用户带来严重的安全隐患。

（二）防范策略

1. 网络层防御：

• • 流量清洗：通过专业的防火墙设备或高防服务器，对流量进行过滤和检测，屏蔽恶意流量。例如，高防服务器可以识别并过滤掉大量的恶意请求，将正常访客流量回源到源服务器 IP 上，保障源服务器的正常稳定运行。据了解，一些高防服务器能够有效抵御 100G 以上的攻击流量。

• • 访问控制：限制 IP 连接及访问频率，将攻击服务器的 IP 拉进黑名单，拒绝其访问。可以通过配置服务器，限定 CC 攻击的 IP 访问频率，比如设置同一 IP 在一分钟内只能访问网站 10 次，超过次数则进行拦截。

2. 应用层防御：

• • 验证码验证：对用户进行身份验证，使用验证码、短信验证等方式，防止恶意用户通过自动化脚本进行攻击。例如，在用户登录或进行重要操作时，要求输入验证码，增加攻击的难度。有研究表明，使用验证码可以有效降低 70% 以上的自动化攻击。

• • 会话管理：完善会话管理机制，对负载较高的程序增加前置条件判断，禁止一些客户端类型的请求，同一 session 多少秒内只能执行一次。比如设置同一 session 在 30 秒内只能执行一次请求，防止恶意用户通过大量并发请求进行攻击。

3. 安全监测与应急响应：

• • 建立完善的监控系统，及时监测服务器的负载、流量和异常情况。当服务器出现异常时，及时发出告警，采取相应的应对措施。例如，通过监控系统发现服务器负载突然升高，流量异常增大，及时判断可能遭受 CC 攻击，并启动应急预案。

• • 制定应急响应计划，在遭受攻击时能够迅速采取措施，恢复服务。包括备份数据、切换服务器、启动防护软件等。同时，对攻击进行分析，总结经验教训，进一步完善安全防护措施。

六、总结

CC 攻击作为一种常见的网络攻击方式，给个人、企业和社会带来了严重的危害。它不仅会导致网站访问速度变慢、被搜索引擎降权、被云服务器提供商清退，还会严重影响用户体验，造成经济损失和声誉损害。同时，CC 攻击还可能引发数据泄露风险，给用户带来严重的安全隐患。
面对 CC 攻击，我们必须高度重视网络安全，采取有效的防范措施。从使用强密码、启用双因素认证、更新和维护软件、配备防火墙和网络安全设备、定期备份数据、进行网络安全意识培训、保护网络隐私、谨慎处理邮件和信息、设置访问控制、监测和响应网络安全事件、更新安全政策、防范社交工程攻击、使用虚拟专用网络、培养安全浏览习惯、保障设备安全性等多方面入手，全面提升网络安全防护水平。
对于企业和网站运营者来说，更应采取专业的防范策略。可以通过取消域名绑定、域名欺骗解析、更改 Web 端口、屏蔽 IP、使用防护软件、使用高防服务器等方式来防御 CC 攻击。同时，在网络层和应用层进行全面防御，如流量清洗、访问控制、验证码验证、会话管理等。此外，建立完善的监控系统和应急响应计划，以便在遭受攻击时能够迅速采取措施，恢复服务。
总之，CC 攻击的严重性不容小觑，防范网络攻击是我们每个人的责任。我们要坚决抵制网络攻击行为，共同维护网络安全，为数字化时代的发展创造一个安全、稳定、可靠的网络环境。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。