什么是CC攻击？DDoS和CC的区别？CC攻击该如何防御？

一年一度的网络安全周如期而至，而你对网络安全了解多少呢？

不晓得各位朋友注意了没有，刚刚过去的一周（9月14日-20日）是一年一度的网络安全周。

借此热度，今天我们就围绕着“网络安全”来说点儿什么。

『 什么是网络安全 』

首先，当然是最基本的概念

网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。

网络安全的具体含义会随着“角度”的变化而变化。

从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

而从企业的角度来说，最重要的就是内部信息上的安全加密以及保护。

网络安全范围太广，涉及的领域众多，今天咱们接着前些日子讲的DDos攻击，来讲一讲与其有很多相似之处的另一种攻击模式——CC攻击。

『 什么是CC攻击 』

定义：

CC (ChallengeCoHapsar，挑战黑洞) 攻击是 DDoS 攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。

CC 根据其工具命名，攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动 DDoS 攻击。

许多免费代理服务器支持匿名模式，这使追踪变得非常困难。

原理：

CC攻击的原理是利用大量的代理ip或者肉鸡，不停的向网站发起数据包，这些请求是真实的。

如果网站瞬间收到大量的请求，会导致服务器资源耗尽，直到网站崩溃。

因为CC攻击的门槛比较低，一般稍微懂一点计算机基础的人，也可以利用CC攻击软件进行攻击。

CC攻击本身是正常请求，网站动态页面的正常请求也会和数据库进行交互的，当这种"正常请求"达到一种程度的时候，服务器就会响应不过来，从而崩溃

我们都知道网站的页面有静态和动态之分，动态网页是需要与后台数据库进行交互的。

比如一些论坛用户登录的时候需要去数据库查询你的等级、权限等等，当你留言的时候又需要查询权限、同步数据等等。

这就消耗很多CPU资源，造成静态网页能打开，但是需要和数据库交互的动态网页打开慢或者无法打开的现象。

CC攻击的流量不需要很大，很均匀，访问请求数量也无需很多，占用服务器的资源却很多，主要是通过构造有针对性的、最为消耗服务器端资源的业务请求，让服务器直接“瘫痪”。

『 CC攻击的几种类型 』

1．直接攻击 

主要针对有重要缺陷的 WEB 应用程序，这种情况比较少见，一般只有在程序写出错的时候才会出现。

2．代理攻击

代理攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现DOS和伪装。攻击者模拟多个用户不停地进行访问那些需要大量数据操作，需要大量CPU时间的页面。

3．僵尸网络攻击

攻击者通过各种途径传播“僵尸程序”（火绒检测为“后门病毒”）。然后，当用户感染并激活病毒时，攻击者就可以控制电脑，并下发各种远程命令。最后，随着被感染的电脑越来越多，就形成了庞大的“僵尸网络”。

『 DDoS和CC的区别 』

DDoS攻击打的是网站的服务器，而CC攻击是针对网站的页面攻击的。

用术语来说就是，一个是WEB网络层拒绝服务攻击（DDoS），一个是WEB应用层拒绝服务攻击（CC）

网络层就是利用肉鸡的流量去攻击目标网站的服务器，针对比较本源的东西去攻击，服务器瘫痪了，那么运行在服务器上的网站肯定也不能正常访问了

而应用层就是我们用户看得到的东西，就比如说网页，CC攻击就是针对网页来攻击的。

『 CC攻击该如何防御 』

CC不像DDoS可以用硬件防火墙来过滤攻击，CC攻击本身的请求就是正常的请求，以下几种方法，大家可以参考下：

1、服务器垂直扩展和水平扩容

资金允许的情况下，这是最简单的一种方法，本质上讲，这个方法并不是针对 CC 攻击的，而是提升服务本身处理并发的能力，但确实提升了对 CC 攻击的承载能力。

垂直扩展：是指增加每台服务器的硬件能力，如升级 CPU、增加内存、升级 SSD 固态硬盘等。

水平扩容：是指通过增加提供服务的服务器来提升承载力。上述扩展和扩容可以在服务的各个层级进行，包括：应用服务器、数据库服务器和缓存服务器等等。

2、数据缓存 (内存级别，不要用文件)

对于服务中具备高度共性，多用户可重用，或单用户多次可重用的数据，

一旦从数据库中检索出，或通过计算得出后，最好将其放在缓存中，

后续请求均可直接从缓存中取得数据，减轻数据库的检索压力和应用服务器的计算压力，并且能够快速返回结果并释放进程，从而也能缓解服务器的内存压力。

要注意的是，缓存不要使用文件形式，可以使用 redis、mem—cached 等基于内存的 nosql 缓存服务，并且与应用服务器分离，单独部署在局域网内。

局域网内的网络 IO 肯定比起磁盘 IO 要高。为了不使局域网成为瓶颈，千兆网络也是有必要的。

3、页面静态化

与数据缓存一样，页面数据本质上也属于数据，

常见的手段是生成静态化的 html 页面文件，利用客户端浏览器的缓存功能或者服务端的缓存服务，以及 CDN 节点的缓冲服务，

均可以降低服务器端的数据检索和计算压力，快速响应结果并释放连接进程。

4、用户级别的调用频率限制

不管服务是有登陆态还是没登陆态，基于 session 等方式都可以为客户端分配唯一的识别 ID (后称作 SID)，服务端可以将 SID 存到缓存中。

当客户端请求服务时，如果没有带 SID (cookie 中或请求参数中等)，则由服务端快速分配一个并返回。可以的话，本次请求可以不返回数据，或者将分配 SID 独立出业务服务。

当客户端请求时带了合法 SID (即 SID 能在服务端缓存中匹配到)，便可以依据 SID 对客户端进行频率限制。

而对于 SID 非法的请求，则直接拒绝服务。相比根据 IP 进行的频率限制，根据 SID 的频率限制更加精准可控，可最大程度地避免误杀情况。

5、IP 限制

最后，IP 限制依然可以结合上述规则一起使用，但是可以将其前置至) JCb 层的防火墙或负载均衡器上去做，并且可以调大限制的阈值，防止恶意访问穿透到应用服务器上，造成应用服务器压力。

『 中国联通在防御CC攻击中的优势 』

应对CC攻击，客户自身若想高效的做好防范措施，其防御成本的投入势必是巨大的，因此只有依靠运营商的大网防护能力，实现平台级的整体防御，对攻击流量进行有效的封堵、清洗，从而将影响减到最低。

而联通慧御网站安全云防护产品就是为网站量身提供的，综合防护的解决方案级产品。

它是基于多年防护经验积累打造的，提供综合防护能力的高端产品，各类防护节点覆盖全国多个省市，同时覆盖三大运营线链路，并且提供灵活的自助服务平台，客户可根据自身情况来进行策略调整。

上线至今，已累计防御域名近千万，累计扫描网页超二十亿。