CC攻击器：网络世界的“隐形杀手”(图文)

CC 攻击器主要是用来攻击页面的，模拟多个用户不断向目标服务器发送大量请求，以耗尽服务器资源。例如在访问论坛人数多的时候，打开页面慢就是因为服务器资源被大量占用。
CC 攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC 主要是用来消耗服务器资源的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC 就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量 CPU 时间）的页面，造成服务器资源的浪费，CPU 长时间处于 100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。
CC 攻击的种类有三种，直接攻击、代理攻击、僵尸网络攻击。直接攻击主要针对有重要缺陷的 WEB 应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。僵尸网络攻击有点类似于 DDOS 攻击了，从 WEB 应用程序层面上已经无法防御。代理攻击是 CC 攻击者一般会操作一批代理服务器，比方说 100 个代理，然后每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，就象本来你去食堂吃饭时，一般只有不到十个人在排队，今天前面却插了一千个人，那么轮到你的机会就很小很小了，这时就出现页面打开极其缓慢或者白屏的情况。
CC 攻击让真正的用户访问不了网页，或者是会让访问速度变得很慢，这就容易流失大量用户，降低网站流量，会给企业造成不可估量的损失。

二、CC 攻击的原理

CC 攻击的原理是攻击者控制某些主机不停地向对方服务器发送大量数据包，造成服务器资源耗尽，直至宕机崩溃。CC 攻击主要用于消耗服务器资源，其原理与我们在网页访问人数众多时打开网页变慢的情况类似。当一个网页访问人数特别多的时候，服务器资源被大量占用，打开网页就会变慢。CC 攻击就是模拟多个用户（多少线程就是多少用户）不停地访问那些需要大量数据操作（即需要大量 CPU 时间）的页面，造成服务器资源的浪费。CPU 长时间处于 100%，永远都有处理不完的连接，直至网络拥塞，正常的访问被中止。
CC 攻击的种类有三种，分别是直接攻击、代理攻击和僵尸网络攻击。直接攻击主要针对有重要缺陷的 WEB 应用程序，这种情况比较少见。僵尸网络攻击类似于 DDOS 攻击，从 WEB 应用程序层面上已经无法防御。代理攻击是 CC 攻击者操作一批代理服务器，比如 100 个代理，每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求。发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，不能发动再次请求。这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也如此。正常请求就会被排在很后被处理，就像去食堂吃饭，本来只有不到十个人在排队，今天前面却插了一千个人，轮到自己的机会就很小很小了，这时就出现页面打开极其缓慢或者白屏的情况。

三、CC 攻击的种类

1. 直接攻击：主要针对有重要缺陷的 WEB 应用程序，比较少见。一般说来是程序写的有问题的时候才会出现这种情况。例如程序出现漏洞，导致攻击者可以利用这些缺陷发起攻击，使服务器资源被大量占用，最终可能导致服务器宕机崩溃。

2. 代理攻击：黑客借助代理服务器生成指向受害主机的合法网页请求，实现 DOS 和伪装。CC 攻击者通常会操作一批代理服务器，比如 100 个代理，然后每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求。发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求。这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，正常请求将会被排在很后被处理，就像去食堂吃饭时，本来只有不到十个人在排队，今天前面却插了一千个人，轮到自己的机会就很小很小了，这时就出现页面打开极其缓慢或者白屏的情况。

3. 僵尸网络攻击：类似于 DDOS 攻击，从 WEB 应用程序层面上已经无法防御。攻击者通过各种途径传播僵尸程序，当用户感染并激活病毒时，攻击者就可以控制电脑，并下发各种远程命令。随着被感染的电脑越来越多，就形成了庞大的僵尸网络。然后利用僵尸网络对目标服务器发动攻击，使服务器资源耗尽，无法正常提供服务。

4. 肉鸡攻击：黑客使用 CC 攻击软件，控制大量肉鸡发动攻击，相比代理攻击更难防御。肉鸡可以模拟正常用户访问网站的请求，伪造成合法数据包，通过大量肉鸡的合法访问来消耗服务器资源。致使服务器 CPU 100%，甚至死机的现象。

四、CC 攻击与 DDOS 的区别

CC 攻击可以归为 DDoS 攻击的一种。CC 是针对服务器端口发攻击的攻击，DDOS 是针对 IP 地址发起的攻击。两者在攻击对象、危害、门槛、流量大小等方面存在区别。
攻击对象不同：DDoS 攻击主要针对 IP 的攻击，而 CC 攻击针对的是网页。
危害不同：DDoS 攻击危害性较大，更难防御；CC 攻击的危害不是毁灭性的，但是持续时间长。
门槛不同：DDoS 攻击门槛高，攻击者一般需要在攻击前搜集被攻击目标主机数目、地址情况、目标主机的配置性能等资料，盲目攻击可能导致效果不佳；CC 攻击门槛低，利用更换 IP 代理工具即可实施攻击，且目标比较明确，黑客水平比较低的用户也能进行。
流量大小不同：DDoS 攻击比 CC 攻击所需要流量更大；CC 攻击有时不需要很大的流量。

五、CC 攻击的危害

1. 服务器过载，无法处理正常用户请求，服务功能部分或完全不可用。

CC 攻击会使服务器面临大量的虚假请求，这些请求会占用服务器的资源，导致服务器无法及时处理正常用户的请求。例如，在电商平台遭受 CC 攻击时，用户可能无法完成购物订单的提交，企业的在线交易功能就会受到严重影响，甚至完全无法使用。

2. 网站打开速度变慢，企业会流失大量用户，降低用户体验感，损害企业声誉。

当网站受到 CC 攻击后，服务器资源被攻击流量占据，带宽出现拥堵。这就像原本畅通的高速公路突然涌入大量车辆，导致交通堵塞一样。网站打开速度会变得异常缓慢，即使真实的用户访问量很少，打开速度也很慢。对于用户来说，正常访问的网站加载速度超过 2 秒，都会消耗他们的耐心，最终导致用户跳出率极高、严重流失。而这也会损害企业的品牌形象，使用户对企业的安全运维能力产生怀疑。

3. 游戏服务器可能会出现服务器可以连接，ping 也没问题，但网页访问不了的情况，导致游戏玩家大量流失。

CC 攻击对游戏服务器的危害尤为明显。游戏服务器在遭受 CC 攻击时，虽然服务器可以连接，ping 也正常，但由于攻击导致服务器资源被大量无效数据占据，游戏玩家无法正常访问游戏网页。这会直接导致游戏玩家大量流失，给游戏运营商带来巨大的损失。例如，一些热门游戏在遭受 CC 攻击后，可能会出现服务中断的情况，影响玩家的游戏体验，进而导致玩家转向其他游戏。

六、CC 攻击器常见平台有哪些

1. 肉鸡攻击平台：黑客使用 CC 攻击软件，控制大量肉鸡模拟正常用户访问网站。这种攻击方式相比代理攻击更难防御，因为肉鸡可以伪造成合法数据包，通过大量肉鸡的合法访问来消耗服务器资源，致使服务器 CPU 100%，甚至死机。例如，一些在线游戏服务器在遭受肉鸡攻击时，虽然服务器可以连接，ping 也没问题，但由于攻击导致服务器资源被大量无效数据占据，游戏玩家无法正常访问游戏网页，最终导致游戏玩家大量流失。

2. 代理攻击平台：黑客借助代理服务器生成指向受害网站的合法网页请求。CC 攻击者通常会操作一批代理服务器，比如 100 个代理，然后每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求。发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求。这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，正常请求将会被排在很后被处理，就像去食堂吃饭时，本来只有不到十个人在排队，今天前面却插了一千个人，轮到自己的机会就很小很小了，这时就出现页面打开极其缓慢或者白屏的情况。

3. 僵尸攻击平台：攻击者通过传播 “僵尸程序” 感染用户电脑发动攻击。一旦用户感染并激活病毒时，攻击者就可以控制电脑，并下发各种远程命令。随着被感染的电脑越来越多，就形成了庞大的僵尸网络。然后利用僵尸网络对目标服务器发动攻击，使服务器资源耗尽，无法正常提供服务。这种攻击方式类似于 DDOS 攻击，从 WEB 应用程序层面上已经无法防御。

4. SYN-CC 攻击平台：攻击者直接使用高并发来请求目标。这种攻击方式较为常见，攻击者直接使用高并发来请求目标导致目标网站或应用无法提供正常服务。

5. POST 流量好用型平台：攻击者恶意提交数据交互导致服务中断。这种攻击方式带宽耗用很高，通常也会消耗掉大额的短信费用。

6. 模拟 UA 以及常规的百度伪装平台：大部分网站攻击中一般会出现伪装百度的 CC 攻击。这种攻击属于常规伪装攻击，非常普遍。

7. 浏览器漏洞 CC 请求攻击平台：利用浏览器漏洞控制浏览器来发动攻击。该类攻击不是伪装，是真实请求，比较难防护的攻击类型。

8. 路由盒子劫持攻击平台：这类攻击请求合法，但较难防御。路由盒子量非常庞大，攻击请求合法，一旦发生攻击，会给目标服务器带来很大的压力。

七、CC 攻击的案例

1. 雇佣黑客以 DDOS 和 CC 的方式攻击，打电话、发短信索要保护费，彭某、谢某被判刑。

2018 年 12 月，彭某根据张某某提供的百淘电子商务（唐山）有限公司网址信息，决定从网上联系购买黑客攻击服务，对该公司进行网络攻击并敲诈勒索钱财。自 2018 年 12 月 19 日 17 时开始，彭某雇佣的黑客多次以 DDOS 和 CC 的方式攻击百淘电子商务（唐山）有限公司的阿里云服务器，导致服务器多次瘫痪。2018 年 12 月 23 日至 2018 年 12 月 30 日期间，彭某、谢某以打电话、发短信和发微信的方式联系该公司的工作人员，索要每月人民币 3 万元的 “服务费”，否则将继续攻击该公司的服务器。2019 年 1 月 16 日，彭某、谢某被公安机关抓获，到案后如实供述了自己的罪行。唐山市路南区人民检察院指控被告人彭某、谢某犯敲诈勒索罪，事实清楚，证据确实、充分，指控罪名成立。被告人彭某、谢某已经着手实行犯罪，由于意志以外的原因未能得逞，系犯罪未遂，依法对二被告人从轻处罚。被告人谢某在共同犯罪中起次要作用，系从犯，依法对其从轻处罚。

2. 网站被 CC 攻击的一次经历，作者通过限制 PHP 并发、屏蔽 IP、启用 waf 防 CC 攻击功能等方法进行攻防，但都未成功。

（此处可虚构一个网站被 CC 攻击的经历）假设某公司运营一个电商网站，在某一天突然发现网站打开速度变得异常缓慢，甚至出现白屏的情况。技术人员经过排查，发现服务器资源被大量占用，初步判断是遭受了 CC 攻击。技术人员首先尝试限制 PHP 并发，希望通过减少同时处理的请求数量来缓解服务器压力，但效果不佳。接着，他们通过查看日志分析，试图屏蔽攻击源 IP，但由于攻击 IP 分散且不断变化，屏蔽 IP 的方法也未能成功阻止攻击。最后，他们启用 waf（Web 应用防火墙）的防 CC 攻击功能，然而攻击者似乎找到了绕过 waf 的方法，攻击仍在继续。在这次攻防过程中，尽管技术人员采取了多种措施，但都未能成功抵御 CC 攻击，公司遭受了巨大的损失，包括用户流失、订单减少以及品牌形象受损等。

八、如何防范 CC 攻击器

CC 攻击器的危害巨大，因此采取有效的防范措施至关重要。以下是一些防范 CC 攻击的方法：

1. 使用网站安全卫士：360 网站卫士能够为用户免费提供网站加速，智能高防 DNS，防 DDOS，预防 CC 攻击，防黑客和网站在线等服务。它大大降低了中小站长的安全防御成本，如提供免费的 CDN 缓存服务，在防护攻击的同时，还可加速跨网络运营商的网站访问速度，减少原服务器的带宽压力，并且还提供了专业的防 SQL 注入、XSS 跨站、挂马等防御功能。

2. 取消域名绑定：一般 cc 攻击都是针对网站域名进行攻击，在 IIS 上取消这个域名的绑定，让 CC 攻击失去目标。但这种方法取消或者更改域名对于别人的访问带来了不便，对于针对 IP 的 CC 攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。

3. 域名欺骗解析：如果发现针对域名的 CC 攻击，可以把被攻击的域名解析到 127.0.0.1 这个地址上。127.0.0.1 是本地回环 IP 是用来进行网络测试的，如果把被攻击的域名解析到这个 IP 上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。

4. 更改 web 端口：一般情况下 Web 服务器通过 80 端口对外提供服务，攻击者实施攻击就以默认的 80 端口进行攻击，所以我们可以修改 Web 端口达到防 CC 攻击的目的。运行 IIS 管理器，定位到相应站点，打开站点 “属性” 面板，在 “网站标识” 下有个 TCP 端口默认为 80，我们修改为其他的端口就可以了。

5. 利用 IIS 屏蔽 IP：我们通过命令或在查看日志发现了 CC 攻击的源 IP，就可以在 IIS 中进行设置来屏蔽该 IP 对 Web 站点的访问，从而达到防范 IIS 攻击的目的。在相应站点的 “属性” 面板中，点击 “目录安全性” 选项卡，点击 “IP 地址和域名现在” 下的 “编辑” 按钮打开设置对话框。在此窗口中可以设置 “授权访问”，即 “白名单”，也可以设置 “拒绝访问”，即 “黑名单”。

6. 设置拒绝代理访问：一般 CC 攻击可以利用代理发动攻击，我们可以设置 “拒绝所有代理访问” 就可以很好的防止代理访问的攻击。

7. 优化代码：尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销。减少复杂框架的调用，减少不必要的数据请求和处理逻辑。程序执行中，及时释放资源，比如及时关闭 mysql 连接，及时关闭 memcache 连接等，减少空连接消耗。

8. 限制手段：对一些负载较高的程序增加前置条件判断，可行的判断方法是必须具有网站签发的 session 信息才可以使用（可简单阻止程序发起的集中请求）；必须具有正确的 referer（可有效防止嵌入式代码的攻击）；禁止一些客户端类型的请求（比如一些典型的不良蜘蛛特征）；同一 session 多少秒内只能执行一次。

9. 完善日志：尽可能完整保留访问日志。日志分析程序，能够尽快判断出异常访问，比如单一 ip 密集访问；比如特定 url 同比请求激增。

10. 使用高防服务器：在一开始就选择高防的服务器租用的话，就可以省去后续因为被攻击带来的损失和处理的成本及精力。高防服务器主要通过硬件防护和软件防护两种方式来实现防御。硬件防护方面，高防服务器会配备高端硬件设备，如防火墙、负载均衡器、反向代理等，用于过滤和分拣访问请求，将恶意请求分离出去。软件防护方面，高防服务器会使用多种软件技术，如黑白名单、流量分析、数据包过滤等，来对网络流量进行分析，及时发现并封锁 DDoS 攻击。

11. 利用 Session 做访问计数器：防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。（文件下载不要直接使用下载地址，才能在服务端代码中做 CC 攻击的过滤处理）。

12. 把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给骇客入侵带来不少麻烦。现在很多大型门户网站主要都是静态页面，如果您不需要动态脚本，则可以将其发送到另一台单独的主机，以便在受到攻击时避开主服务器。

13. 增强操作系统的 TCP/IP 栈：Win2000 和 Win2003 作为服务器操作系统，本身就具备一定的抵抗 DDOS 攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约 10000 个 SYN 攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化 TCP/IP 堆栈安全》。也许有的人会问，那我用的是 Linux 和 FreeBSD 怎么办？很简单，按照这篇文章去做吧！《SYN Cookies》。

14. 服务器前端加 CDN 中转：如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实 IP，域名解析使用 CDN 的 IP，所有解析的子域名都使用 CDN 的 IP 地址。此外，服务器上部署的其他域名也不能使用真实 IP 解析，全部都使用 CDN 来解析。另外，防止服务器对外传送信息泄漏 IP 地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的 IP 地址。如果非要发送邮件，可以通过第三方代理 (例如 sendcloud) 发送，这样对外显示的 IP 是代理的 IP 地址。总之，只要服务器的真实 IP 不泄露，10G 以下小流量 DDOS 的预防花不了多少钱，免费的 CDN 就可以应付得了。如果攻击流量超过 20G，那么免费的 CDN 可能就顶不住了，需要购买一个高防的盾机来应付了。

15. 简易 CC 攻击防御方法：包括取消域名绑定、域名欺骗解析、更改 Web 端口、屏蔽 IP、启用验证码、使用 Web 应用防火墙（WAF）、定期备份数据、监控与响应等。取消域名绑定可让 CC 攻击失去目标，但对别人访问带来不便；域名欺骗解析可使攻击者自攻自受；更改 Web 端口可防止默认端口被攻击；屏蔽 IP 可在 IIS 或防火墙中设置；启用验证码能增加攻击难度；使用 WAF 可有效过滤恶意流量；定期备份数据可在遭受攻击后快速恢复；监控与响应能及时发现并处理攻击。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。