揭秘 CC 攻击：探寻攻击者信息的方法与策略(图文)

一、CC 攻击概述

什么是 CC 攻击

CC 攻击就是利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。具体来说，CC 攻击主要目的是消耗服务器资源，造成服务器宕机崩溃。CC 攻击的原理是攻击者控制部分主机不断向对方服务器发送大量数据包，导致服务器资源耗尽直至崩溃。CC 主要用于攻击页面，用来消耗服务器资源。每个人都有这样的经历：当一个页面被很多人访问时，打开页面会很慢。CC 是模拟多个用户（线程数就是用户数）不断访问那些需要大量数据操作（即占用大量 CPU 时间）的页面，造成服务器资源的浪费，CPU 长时间处于 100%，直到网络拥塞，导致无法正常访问。
CC 攻击的种类有三种，直接攻击、代理攻击、僵尸网络攻击。直接攻击主要针对有重要缺陷的 WEB 应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。僵尸网络攻击有点类似于 DDOS 攻击了，从 WEB 应用程序层面上已经无法防御。代理攻击是 CC 攻击者一般会操作一批代理服务器，比方说 100 个代理，然后每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理。

二、查找 CC 攻击者信息的方法

1. 通过服务器网站被攻击后的处理方法查找

当网站被 CC 攻击后，可以采取一些措施来查找攻击者信息。首先，可以考虑域名解除绑定，这样能暂时阻止攻击，但这只是权宜之计，因为正常用户也无法访问网站了。更改域名解析也是一种方法，比如将域名解析更改为 127.0.0.1 这个 IP 地址，CC 攻击可能会直接回流到攻击者自己的服务器上。修改 web 端口能有效避免针对特定端口的 CC 攻击。屏蔽 IP 也是常用手段，通过命令调用或查找网站日志找到攻击源 IP，然后进行屏蔽设置，若攻击者使用某个 IP 段发起攻击，则可屏蔽整个 IP 段。优化网站代码同样重要，尽量使用静态页面，减少服务器吞吐量，降低被攻击的影响。完善日志可以快速通过检查日志，判断出 cc 攻击者的 ip，进而对 ip 进行屏蔽限制。

2. 利用边缘安全加速平台查询

腾讯云的边缘安全加速平台可以通过接口查询 CC 防护攻击源 IP 信息列表。接口请求域名是 teo.tencentcloudapi.com，可查询 CC 防护客户端（攻击源）IP 信息。输入参数包括开始时间、结束时间、站点集合、域名集合等，输出参数有 CC 防护客户端（攻击源）ip 信息列表和总条数等。

3. 在 Linux 下查找

在 Linux 下可以使用一些命令来查找 CC 攻击和攻击者信息。如查看所有 80 端口的连接数，使用命令 “netstat -nat|grep -i “80”|wc -l”；对连接的 IP 按连接数量进行排序，命令为 “netstat -ntu | awk ‘{print 6}’|sort|uniq -c|sort -rn” 等一系列命令；还可以查看 80 端口连接数最多的 20 个 IP，命令是 “netstat -anlp|grep 80|grep tcp|awk ‘{print 1}’|sort|uniq -c|sort -nr|head -n20”。

4. 通过 Windows 预读取文件查找

Windows 预读取文件中包含了各类元数据，可以帮助分析人员找到攻击者的执行证据及策略。预读取文件是一系列包含启动项目和常用应用的文件，以 *.pf 为扩展名，其命名方式是以应用程序的可执行文件的名字为基础，加上一个 “-” 和描述执行文件完整路径的十六进制值，再加上文件扩展名.pf。我们可以以预读取文件 CCLEANER64.EXE-DE05DBE1.pf 为例，用 Eric Zimmerman 编写的 PECmd 解析它。输出结果中，首先显示的文件的时间戳为：可执行文件的名称、路径的哈希值、可执行文件的大小和预读取文件的版本。在 Windows 8.1 版本以上执行时，除了创建时间、运行计数和最近一次运行的时间戳外，还可看到最近另外七次的运行时间。接下来可以查看卷信息，包括其序列号和创建时间戳。最后是引用的文件和目录，可执行文件引用的文件和目录是我们要关注的重点，它不仅能让分析人员发现是否存在恶意执行的动作，还可以知道攻击者使用的确切技术。

5. 利用蜜罐技术获取攻击者信息

通过蜜罐技术可以获取攻击者手机号、微信号等信息。蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为。可以通过伪装 Mysql 服务器，诱导攻击者来连接，利用漏洞来读取攻击者电脑的文件，从而获取攻击者的信息。比如通过 Fake Mysql 的概念，伪装 Mysql 服务器，当攻击者连接时，利用漏洞读取攻击者电脑中的文件，如获取 windows 用户名可以通过打开 C:/Windows/PFRO.log 文件，获取 wxid 可以访问 C:/Users/ 用户名 / Documents/WeChat Files/All Users/config/config.data 文件，获取手机号、微信号、地址可以查看 C:/Users/ 用户名 / Documents/WeChat Files/wx_id/config/AccInfo.dat 文件。为了实现自动化，可以使用 JavaScript 代码判断是否为扫描器或密码爆破工具进行交互握手，或者读取设定好的文件并写入本地保存。

三、威胁情报平台在查找中的作用

1. 国内威胁情报平台

国内有多个优秀的威胁情报平台，在查找 CC 攻击者信息方面发挥着重要作用。
微步威胁平台：微步威胁平台是中国首家专业的威胁情报公司，旗下的下一代威胁情报平台 NGTIP 以高质量精准的 “威胁情报、漏洞情报、态势情报” 三重情报为核心，为企业提供更高效、主动、全面的安全防御。例如，NGTIP 对 IP 情报全新升级，从单一维度升级为具备深度、广度、活跃度的三维 IP 画像，可帮助企业安全运营团队更好地判定 IP 攻击目的，实现告警降噪。同时，微步在线还深度参与了人行金融行业网络安全态势感知与信息共享平台建设，其本地威胁情报管理平台（TIP）可为金融机构提供一站式、自动化的接入模块，帮助金融机构实现情报的持续运营和应用。
奇安信威胁情报中心：奇安信威胁情报中心是奇安信集团旗下的主力高级威胁分析团队，连续三次入选 Gartner® 安全威胁情报市场指南。该中心通过利用大数据发现、跟踪、研究各类高级安全威胁，为组织提供情报赋能、检测预警、APT 追踪发现、应急响应等安全运营能力，以及各类高级威胁分析服务。例如，奇安信 APT 实验室与奇安信威胁情报中心在日常威胁狩猎过程中监测到一批针对巴勒斯坦及加沙地区的有组织的、持续性的网络攻击行为，并研判结果指向了 MoonLight 组织。此外，奇安信威胁情报中心还具备全面独有的数据视野及数据采集处理能力、高精准的情报数据及行业领先的专业安全分析团队等六大核心优势。
360 安全大脑：360 旗下的微信情报中心，可以根据 IP、Domain、HASH 等查询威胁情报。360 威胁平台也是国内知名的威胁情报平台之一，为安全分析人员提供了丰富的威胁情报资源和分析工具。
绿盟威胁情报中心：绿盟威胁情报中心支持中文搜索，但需要注册登录查看更多信息。该平台为用户提供了全面的威胁情报服务，包括威胁指标、战术威胁情报、战略威胁情报等，帮助用户更好地了解和应对网络安全威胁。
VenusEye 威胁情报中心：由启明星辰集团倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报云服务平台。VenusEye 威胁情报中心拥有丰富的威胁情报数据和先进的分析技术，能够为用户提供及时、准确的威胁情报服务，帮助用户快速发现和应对网络安全威胁。
安恒安全星图平台：提供海量内外部威胁情报数据、恶意样本行为数据、黑客组织画像信息等查询服务。安恒安全星图平台通过大数据分析和人工智能技术，对网络安全威胁进行实时监测和分析，为用户提供全面的安全防护解决方案。
天际友盟威胁情报中心：情报应用解决方案已在国内多家政府机构和企业得到实践，提供安全情报、漏洞情报、最新资讯、威胁溯源等服务。天际友盟 RedQueen 安全智能服务平台是其旗下的威胁情报平台之一，为用户提供了丰富的威胁情报资源和分析工具，帮助用户更好地了解和应对网络安全威胁。

2. 国外威胁情报平台

AlienVault：AlienVault Open Threat Exchange（OTX）是由线上社区驱动的威胁情报源，是目前全球最大、最全面的威胁情报社区之一，有来自 140 个国家的 10 万多名参与者，每天提供超过 1900 万个威胁指标。OTX 是一个完全开放的威胁情报社区，将威胁研究和安全专业人员共享的专业知识免费开放给所有用户。通过 DirectConnect API 与其他工具集成，利用 Pulse Wizard，用户可以自动化地提取 IoC。图形化阅读界面可以清楚地说明了威胁指标（IoC）的数量和类型，并提供报告来快速总结威胁及其影响。此外，OTX 还共享有关威胁名称、任何相关引用 URL、标签、攻击者背景等方面的信息。
ISC SANS 威胁检测：在成功检测，分析和发布 Li0n 蠕虫警告后创建，为成千上万的互联网用户和组织提供免费的分析和警告服务。ISC SANS 威胁检测通过收集和分析来自全球的威胁情报数据，为用户提供及时、准确的威胁情报服务，帮助用户快速发现和应对网络安全威胁。

四、CC 攻击的特点与种类

1.CC 攻击的特点

CC 攻击具有以下显著特点：

• 请求模拟真实有效：CC 攻击的请求都是模拟真实的有效请求，这使得服务器不能拒绝这些请求。因为从服务器的角度来看，这些请求与正常用户的请求并无二致。

• IP 真实且分散难溯源：用来发起 CC 攻击的 IP 都是真实而分散的。攻击者通常会利用大量不同的真实 IP 地址来发动攻击，这使得溯源变得极为困难。即使尝试追踪攻击源 IP，也会因为数量众多且分散在不同地区而难以确定真正的攻击者。

• 数据包正常难以区分：CC 攻击的数据包都是模拟真实用户的正常数据包。这意味着从数据包的特征上很难判断出哪些是攻击数据包，哪些是正常用户的数据包。服务器在接收到这些数据包时，会按照正常的处理流程进行处理，从而消耗服务器资源。

• 针对网页攻击影响访问：CC 攻击一般是针对网页攻击，服务器可以连接，ping 没问题，但网页无法访问。这是因为攻击的目标主要是网页服务，通过大量的请求占用服务器资源，使得网页无法正常响应，而服务器的网络连接本身并没有问题。

2.CC 攻击的种类

CC 攻击主要有以下几种种类：

• 直接攻击：主要针对有重要缺陷的 WEB 应用程序，比较少见。这种情况下，一般是由于 WEB 应用程序本身存在严重的漏洞或缺陷，攻击者直接利用这些漏洞进行攻击。例如程序代码存在逻辑错误，导致可以被攻击者轻易地利用来发动攻击。

• 肉鸡攻击：黑客使用 CC 攻击软件，控制大量肉鸡，对目标网站反复进行恶意请求。肉鸡可以模拟正常用户来访问网站，能够伪造合法数据包请求，通过大量肉鸡的合法访问来消耗服务器资源。攻击者利用被控制的肉鸡电脑，从不同的 IP 地址发起攻击，使得攻击更加难以防范。

• 僵尸攻击：有点类似于 DDOS 攻击，WEB 应用程序层面上已经无法防御。僵尸攻击通常是网络层面的 DDoS 攻击，大量的僵尸主机同时向目标网站发送请求，导致服务器资源迅速耗尽，无法正常提供服务。

• 代理攻击：CC 攻击者操作一批代理服务器，每个代理同时发出请求，消耗服务器资源。攻击者一般会操作一批代理服务器，比方说 100 个代理，然后每个代理同时发出 10 个请求，这样 WEB 服务器同时收到 1000 个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时 WEB 服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，严重影响网站的正常访问。

五、CC 攻击的防御策略

1. 针对 IP 进行封禁

如果一个 IP 在一秒内请求大于 100，可以封禁掉，但对于肉鸡攻击，封禁不过来。因为肉鸡攻击通常会使用大量不同的 IP 地址，难以全部封禁。

2. 针对被高频访问的 URL 做人机验证

定制访问频率限制，超过限制需要进行真人验证，有效防止被刷。例如可以设定 10 秒内访问超过 100 次的 URL 需要进行真人验证。但这也需要有足够的宽带支持，否则可能会导致网络卡顿。

3. 网站页面静态化

可以较大程度的减少系统资源消耗，提高抗系统抗攻击能力，但业务不同成本高。对于一些动态业务较多的网站，静态化可能会影响业务的正常开展，且实施静态化需要一定的技术投入和维护成本。

4. 更改 Web 端口

修改 Web 端口，可以起到防护 CC 攻击的目的。通常情况下 Web 服务器都是通过 80 端口提供对外服务，黑客发起攻击的默认端口也是 80 端口，所以修改 Web 端口能有效避免针对特定端口的攻击。

5. 取消域名绑定

对针对 IP 的 CC 攻击取消域名绑定是没用的。取消域名绑定后，虽然 Web 服务器的 CPU 能马上恢复正常状态，但对正常用户的访问会带来不便，且对于针对 IP 的攻击无法起到防御作用。

6. 完善日志

保留完整日志，通过日志分析程序，能够尽快判断出异常访问，同时也能收集有用信息。比如发现单一 IP 的密集访问，特定页面的 URL 请求激增等等。

7. 使用安全加速 SCDN 产品

包含以上所有功能，一键式接入永久解决问题。安全加速 SCDN 具有众多优势，如 Web 攻击防护，能有效防御 SQL 注入、XSS 攻击、命令 / 代码执行等 OWASP TOP 10 攻击；应用层 DDoS 防护，包括 CC、HTTP Flood 攻击防御和慢连接攻击防御等。同时，SCDN 还支持分钟级接入，配置简单，只需 CNAME 接入，误杀率低，尤其适合复杂的业务系统。对于网站类 DDoS 防护，可以通过封堵海外，阻断海外流量，极大的削弱攻击流量，为各类
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。