什么是CC攻击，如何防止网站被CC攻击的方法

• 前言

“CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。”

• 什么是CC攻击？

CC攻击前身是一个名为Fatboy的攻击程序，而之所以后来人们会称之为CC，也叫HTTP-FLOOD，是因为DDoS攻击发展的初期阶段，绝大部分DDoS攻击都能被业界熟知的“黑洞”（Collapsar，一种安全防护产品）所抵挡，CC攻击的诞生就是为了直面挑战黑洞。所以Challenge Collapsar（挑战黑洞）=CC攻击，如此而来。

CC攻击是针对Web服务在OSI协议第七层协议发起的攻击，攻击者极力模仿正常用户的网页请求行为，发起方便、过滤困难，极其容易造成目标服务器资源耗尽无法提供服务。

• CC攻击的种类

CC攻击的种类有三种：直接攻击、肉鸡攻击、僵尸攻击、代理攻击。

1. 直接攻击：主要针对有重要缺陷的WEB应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。

1. 肉鸡攻击：一般是黑客使用CC攻击软件，控制大量肉鸡，肉鸡可以模拟正常用户来访问网站，能够伪造合法数据包请求，通过大量肉鸡的合法访问来消耗服务器资源。

1. 僵尸攻击：有点类似于DDOS攻击了，僵尸攻击通常是网络层面的DDoS攻击，WEB应用程序层面上已经无法防御。

1. 代理攻击(常见)：CC攻击者一般会操作一批代理服务器，比方说100个代理，然后每个代理同时发出10个请求，这样WEB服务器同时收到1000个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时WEB服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，这时就出现页面打开极其缓慢或者白屏。

• 如何判断CC攻击？
  • 场景1：高频海量的虚假请求耗尽服务器资源

攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。

针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。

• • 场景2：构造大量畸形报文的请求进行CC攻击

攻击者在进行CC攻击时构造的请求常常与正常请求的特征不相符，安全与加速服务可通过识别不合理请求的特征对CC攻击进行防护。例如：

1. Cookie不合理。Cookie是一种在客户端（通常是Web浏览器）和服务器之间传输和存储数据的机制，正常请求往往会携带网站本身业务集的Cookie。CC攻击请求常常不会携带cookie或者携带伪造的cookie。针对此种场景您可以开启cookie防护功能进行防护。

• • 场景3：利用海外或公有云IP发起CC攻击

在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。

您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。

此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截。

• • 场景4：大规模扫描和爬取行为

大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果：

攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求.

Bot防护：Bot防护可限制对网站的大规模爬取行为

• 如何防御CC攻击？

1. 部署高防SCDN云防护产品

拥有分布式安全防护能力的CDN加速服务。能够提供稳定加速，同时在加速节点深度集成抗DDoS、CC攻击的防护功能，基于加速节点的计算能力，使用深度学习的算法，智能预判分析攻击行为，在边缘加速节点完成DDoS清洗和恶意请求拦截，从而保护源站。真正用户的请求则正常从加速节点获取资源，兼顾加速和安全的需求目标。

特性：

1. AI+行为分析检测

在OWASP TOP 10防御的基础上，引入AI防御能力，提高漏洞检出率，降低安全事件误报率，快速响应安全威胁。

1. 安全能力开放

全面开放自定义规则安全能力，引入语义解析引擎，用户可以通过正则或者字符串的方式，自定义安全防护策略，满足个性化防御需求。

1. 安全可视化

默认提供详细报表分析、全量日志查询和告警功能，全面了解业务带宽使用情况，业务安全情况，快速决策和处置安全问题。

1. 高可靠、高可用的服务

后端自动监控业务可靠性，动态调度，提供高可靠、高可用的WAF防护服务。

功能：

• Web攻击防护、

有效防御SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞，分析漏洞原理，并制定安全防护策略，及时进行防护。

通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型，对用户多请求的多元因子进行智能分析，有效提高检出率，降低误报率；通过信息孤岛、行为检测分析，识别恶意攻击源，保护网站安全。

提供智能语义解析功能，在漏洞防御的基础上，增强SQL注入和XSS攻击检测能力。

• 应用层DDoS防护

通过大数据分析平台，实时汇总分析攻击日志，提取攻击特征并进行威胁等级评估，形成威胁情报库。
请求没有命中威胁情报库中的高风险特征，则通过IP黑白名单、访问频率控制等防御攻击。

实时动态学习网站访问特征，建立网站的正常访问基线。

当请求与网站正常访问基线不一致时，启动人机校验(如JS验证、META验证等)方式进行验证，拦截攻击。

对Slow Headers攻击，通过检测请求头超时时间、最大包数量阈值进行防护。
对Slow Post攻击，通过检测请求小包数量阈值进行防护。

• 合规性保障

用户可以对HTTP协议字段进行组合，制定访问控制规则，支持地域、请求头、请求内容设置过滤条件，支持正则语法。

记录所有用户访问日志，对访问源进行TOP N，提供趋势分析，可以根据需要提供日志下载功能。

采用强制静态缓存锁定和更新机制，对网站特定页面进行保护，即使源站相关网页被篡改，依然能够返回给用户缓存页面。

对response报文进行处理，对响应内容和响应进行识别和过滤，根据需要设置数据防泄漏规则，保护网站数据安全。

• HTTP流量管理

可以设置源IP或者特点接口访问速率，对超过速率的访问进行排队处理，减缓服务器压力。

可以根据业务需要对请求头和响应头进行处理，可进行请求头替换或者敏感信息隐藏设置。

• 安全可视化

默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表，满足业务汇报和趋势分析需求。

提供基于均值和峰值带宽统计信息，提供攻击带宽和正常占比，随时关注业务状况。提供多种组件，了解业务监控和核心指标变化情况。

提供全量日志查询和下载功能，可以通过OpenAPI接口获取实时日志或离线日志信息。

1. 高可用架构

建立高可用的系统架构，通过使用冗余的服务器、网络设备和存储设备等，保证系统的可用性。当某个服务器受到攻击时，其他服务器可以接管其工作，保证服务的连续性。

1. 验证机制

对用户进行身份验证，使用验证码、短信验证等方式，防止恶意用户通过自动化脚本进行攻击。可以使用IP黑名单和白名单等技术手段，限制某些IP地址的访问，防止恶意用户的入侵。

1. 监控和告警

建立完善的监控系统，及时监测服务器的负载、流量和异常情况。当服务器出现异常时，及时发出告警，采取相应的应对措施，防止CC攻击对系统造成严重影响。