CC 攻擊是一種 DDoS（分布式拒絕服務(wù)），它似乎比其他 DDoS 攻擊更具技術(shù)性。在這種攻擊中，看不到假I(mǎi)P，看不到特別大的異常流量，但會(huì)導(dǎo)致服務(wù)器無(wú)法正常連接。

很多創(chuàng)業(yè)公司辛辛苦苦開(kāi)發(fā)了自己的app和網(wǎng)站，最后卻被cc攻擊導(dǎo)致業(yè)務(wù)無(wú)法進(jìn)行，損失慘重。那么cc攻擊的原理是什么，如何防御cc攻擊呢？我是艾西，今天跟大家簡(jiǎn)單的聊一下CC攻擊

CC攻擊原理

CC攻擊的原理是攻擊者控制部分主機(jī)不斷向?qū)Ψ?span id="5av735odafo" class="wpcom_keyword_link">服務(wù)器發(fā)送大量數(shù)據(jù)包，導(dǎo)致服務(wù)器資源耗盡直至崩潰。 CC主要用于攻擊頁(yè)面，用來(lái)消耗服務(wù)器資源的

每個(gè)人都有這樣的經(jīng)歷：當(dāng)一個(gè)頁(yè)面被很多人訪問(wèn)時(shí)，打開(kāi)頁(yè)面會(huì)很慢。

CC是模擬多個(gè)用戶(hù)（線程數(shù)就是用戶(hù)數(shù)）不斷訪問(wèn)那些需要大量數(shù)據(jù)操作（即占用大量CPU時(shí)間）的頁(yè)面，造成服務(wù)器資源的浪費(fèi)，CPU長(zhǎng)時(shí)間處于100%，直到網(wǎng)絡(luò)擁塞，導(dǎo)致無(wú)法正常訪問(wèn)。

網(wǎng)站被CC攻擊的癥狀

1、如果網(wǎng)站是動(dòng)態(tài)網(wǎng)站，比如asp/asp.net/php等，在被CC攻擊的情況下，IIS站點(diǎn)會(huì)報(bào)錯(cuò)SERVER IS TOO BUSY 如果不使用IIS來(lái)提供網(wǎng)站服務(wù)，你會(huì)發(fā)現(xiàn)提供網(wǎng)站服務(wù)的程序會(huì)無(wú)緣無(wú)故地自動(dòng)崩潰并報(bào)錯(cuò)。如果排除網(wǎng)站程序的問(wèn)題，出現(xiàn)這種情況，基本可以斷定網(wǎng)站被CC攻擊了。

2、如果網(wǎng)站是靜態(tài)網(wǎng)站，比如html頁(yè)面，在被CC攻擊的情況下，打開(kāi)任務(wù)管理器查看網(wǎng)絡(luò)流量，會(huì)發(fā)現(xiàn)數(shù)據(jù)傳輸在網(wǎng)絡(luò)應(yīng)用中嚴(yán)重偏高。在大量的CC攻擊下，甚至?xí)_(dá)到99%的網(wǎng)絡(luò)占用率。當(dāng)然在CC攻擊的情況下網(wǎng)站不能正常訪問(wèn)，但是通過(guò)3389還是可以正常連接服務(wù)器的。

3、如果被少量CC攻擊，網(wǎng)站仍然可以斷斷續(xù)續(xù)訪問(wèn)，但是一些比較大的文件，比如圖片，可能無(wú)法顯示。如果一個(gè)動(dòng)態(tài)網(wǎng)站被少量的CC攻擊，也會(huì)發(fā)現(xiàn)服務(wù)器的CPU使用率飆升。這是最基本的CC攻擊癥狀。

CC攻擊的危害

CC攻擊的種類(lèi)有三種，直接攻擊，代理攻擊，僵尸網(wǎng)絡(luò)攻擊

直接攻擊：主要針對(duì)有重要缺陷的 WEB 應(yīng)用程序，一般說(shuō)來(lái)是程序?qū)懙挠袉?wèn)題的時(shí)候才會(huì)出現(xiàn)這種情況比較少見(jiàn)。

僵尸網(wǎng)絡(luò)攻擊有點(diǎn)類(lèi)似于 DDOS 攻擊了，從 WEB 應(yīng)用程序?qū)用嫔弦呀?jīng)無(wú)法防御，所以代理攻擊是CC 攻擊者一般會(huì)操作一批代理服務(wù)器，比方說(shuō) 100 個(gè)代理，然后每個(gè)代理同時(shí)發(fā)出 10 個(gè)請(qǐng)求，這樣 WEB 服務(wù)器同時(shí)收到 1000 個(gè)并發(fā)請(qǐng)求的，并且在發(fā)出請(qǐng)求后，立刻斷掉與代理的連接，避免代理返回的數(shù)據(jù)將本身的帶寬堵死，而不能發(fā)動(dòng)再次請(qǐng)求，這時(shí) WEB 服務(wù)器會(huì)將響應(yīng)這些請(qǐng)求的進(jìn)程進(jìn)行隊(duì)列，數(shù)據(jù)庫(kù)服務(wù)器也同樣如此，這樣一來(lái)，正常請(qǐng)求將會(huì)被排在很后被處理。

CC攻擊防御策略

確定Web服務(wù)器已經(jīng)或已經(jīng)被CC攻擊了，如何有效防范？

(1).取消域名綁定

一般CC攻擊是針對(duì)網(wǎng)站域名的。例如，如果我們的網(wǎng)站域名是“www.xxx.xxx”，那么攻擊者會(huì)在攻擊工具中將攻擊目標(biāo)設(shè)置為域名，然后進(jìn)行攻擊。

我們針對(duì)這種攻擊的措施是取消該域名在IIS上的綁定，讓CC攻擊失去目標(biāo)。具體步驟是：打開(kāi)“IIS管理器”，找到具體站點(diǎn)，右鍵“屬性”打開(kāi)站點(diǎn)的屬性面板，點(diǎn)擊IP地址右側(cè)的“高級(jí)”按鈕，選擇域名要編輯的項(xiàng)目，并設(shè)置“Host Header Value” 刪除或更改為另一個(gè)值（域名）。

經(jīng)過(guò)模擬測(cè)試，取消域名綁定后web服務(wù)器CPU立即恢復(fù)正常，通過(guò)IP訪問(wèn)和連接均正常。但缺點(diǎn)也很明顯。取消或更改域名給他人訪問(wèn)帶來(lái)不便。另外，對(duì)IP的CC攻擊無(wú)效。即使攻擊者發(fā)現(xiàn)域名被更改，他也會(huì)攻擊新的域名。 .

(2).域名欺騙解析

如果發(fā)現(xiàn)一個(gè)域名受到CC攻擊，可以將被攻擊的域名解析為地址127.0.0.1。我們知道 127.0.0.1 是用于網(wǎng)絡(luò)測(cè)試的本地環(huán)回 IP。如果被攻擊的域名解析到這個(gè)IP，攻擊者就可以按照自己的目的進(jìn)行攻擊，這樣不管他有多少肉雞或代理，它都會(huì)宕機(jī)

(3).更改網(wǎng)絡(luò)web端口

一般來(lái)說(shuō)，web服務(wù)器通過(guò)80端口對(duì)外提供服務(wù)，所以攻擊者在攻擊的時(shí)候會(huì)使用默認(rèn)的80端口進(jìn)行攻擊。因此，我們可以修改web端口來(lái)防止CC攻擊。運(yùn)行IIS管理器，找到對(duì)應(yīng)站點(diǎn)，打開(kāi)站點(diǎn)“屬性”面板，“Website ID”下有個(gè)TCP端口，默認(rèn)為80，我們可以修改為其他端口。

(4).IIS 阻止屏蔽 IP

我們通過(guò)命令或者查看日志找到了CC攻擊的源IP，我們可以在IIS中設(shè)置IP來(lái)阻止對(duì)網(wǎng)站的訪問(wèn)，從而防止IIS攻擊。在相應(yīng)站點(diǎn)的“屬性”面板中，單擊“目錄安全”選項(xiàng)卡，然后單擊“立即 IP 地址和域”下的“編輯”按鈕以打開(kāi)設(shè)置對(duì)話框。

在這個(gè)窗口中，我們可以設(shè)置“授權(quán)訪問(wèn)”或“白名單”，或“拒絕訪問(wèn)”或“黑名單”。例如，我們可以將攻擊者的 IP 添加到“拒絕訪問(wèn)”列表中，從而阻止該 IP 對(duì) Web 的訪問(wèn)。

(5).使用高防IP

高防IP是服務(wù)器遇到大流量CC攻擊時(shí)候進(jìn)行流量清洗防火墻策略，用戶(hù)可通過(guò)配置高防IP，將攻擊引流到高防IP，確保源站的服務(wù)穩(wěn)定。使用高防IP服務(wù)后，Web業(yè)務(wù)把域名解析指向高防IP；非Web業(yè)務(wù)，把業(yè)務(wù)IP替換成高防IP，并配置源站IP，確保源站的服務(wù)穩(wěn)定。