行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
CC防护怎么做?CC防护三大秘籍,从此不再为之苦恼
2021-01-06 19:57:30 【

CC攻击对网站的运营是非常不利的,因此我们必须积极防范这种攻击,但有些网站在防范这种攻击时可能会陷入误区。CC是DDos攻击的一种,CC攻击是借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装,是通过制造大量的后台数据库查询动作来攻击页面,消耗目标资源。


例如有些攻击通常集中在一个时间段,所以有些网站觉得在遇到这种攻击时,他们直接关闭自己的网站,以达到你想要的CC防护的目的,避免攻击对网站造成损害。而那些攻击者就是为了让你自己主动关闭网站,用户没有办法访问你的网站。然后你还不确定这次攻击还会持续多久?等下次在打开网站时,攻击很可能会持续攻击。事实上你仍然没有逃脱被袭击的命运。

CC攻击这种应用型攻击与流量型DDoS的区别就是流量型DDos是针对IP的攻击,而CC攻击的是服务器资源。这里要重点介绍一下CC攻击。CC攻击是一个依赖http协议,并通过构造特殊的http请求导致服务器保持连接等待状态,直至服务器CPU、内存、连接数等资源被打满,从而造成拒绝服务的一种攻击方式,属于典型的应用层DDos攻击。

CC攻击的特点和流量型DDoS攻击最大的区别是并不需要大流量即可达到攻击效果。有些极端情况下在遭受此类攻击的时候,流量特征可能没有明显的变化,而业务层面出现访问缓慢、超时等现象,且大量访问请求可能指向同一个或少数几个页面。

因为CC攻击来的IP都是真实的、分散的,且CC攻击的请求,全都是有效的请求,无法拒绝的请求。对于此类攻击,DDoS攻击清洗设备的基础算法的作用可能就没那么明显了,需要在攻击过程中实时抓取攻击的特征,对症下药。


CC攻击便是充分利用了这个特点,许多朋友问到,为什么要运用代理呢?由于代理能够有用地隐藏自己的身份,也能够绕开防火墙,由于基本防火墙都会检测并发的TCP/IP衔接数目,超越必定数目必定频率就会被认为是Connection-Flood。当然也能够运用肉鸡发起CC攻击,可将CC防护的难度提升一个层次,致使服务器CPU%100,乃至死机的现象。

CC攻击是DDoS攻击的一种,他们的原理都是相同的,即发送许多的请求数据来导致服务器拒绝服务,是一种衔接攻击。CC攻击的原理是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽,一直到宕机崩溃。

CC主要是用来攻击页面的,每个人都有这样的体会:当一个网页请求的人数特别多的时候,打开网页就慢了,CC便是模仿多个用户(多少线程便是多少用户)不停地进行请求那些需求许多数据操作的页面,形成服务器资源的浪费,CPU长时刻处于100%,永久都有处理不完的连接直至就网络拥塞,正常的请求被中断。

一个静态页面不需求服务器多少资源,乃至能够说直接从内存中读出来发给你就能够了,可是论坛之类的动态网站就不相同了,我看一个帖子,需要到数据库中判断我是否有读帖子的权限,如果有,就读出帖子里边的内容,显示出来。至少拜访了2次数据库,如果数据库的体积有200MB,体系很可能就要在这200MB的数据空间查找一遍,这需求多少的CPU资源和时刻?

关于CC防护的措施:CC防护可以使用多种办法,比如禁止网站代理访问、尽量将网站做成静态页面、约束衔接数量、修改最大超时时刻等。

另外借鉴已有的经验,还可以使用两方面的DDoS保护方法来缓解CC攻击:(1)启用基于浏览器的挑战:Web应用程序防火墙(WAF)可以使用基于挑战的算法来过滤出CC攻击机器人。基于全球公共云基础架构,可以通过Multi CDN利用该计算能力来根据攻击按比例自动调整CC防护。正是这种力量能够抵御每分钟CC攻击3亿次的请求。(2)地理位置限制:通过确保来自主要用户群的国家和地区的流量,并阻止来自已知的“攻击区域”的流量,来限制特定区域的传入流量。

CC不像DDOS可以用硬件防火墙来过滤攻击,硬件防火墙对他起不到很好的CC防护效果,因为CC攻击本身的请求就是正常的请求。如果你的站被瞄上了,最有效的解决方法就是更换域名,更换IP。虽说有效,但是一般没几个人会这么做。如果容易被CC攻击,建议提前安装软防。



由于CC攻击是典型的应用层DDos攻击,因此传统安全设备,如防火墙、运营商清洗等很难起到很好的CC防护作用。目前业界通常会在应用服务器前端部署具备安全功能的代理设备进行防护,比如WAF、负载均衡等,避免让服务器直接面对CC攻击。代理设备启用资源代理和安全防护功能,比如要求在接收完整的HTTP请求之后才会与服务器建立TCP连接并发送已收到的HTTP 请求,此时攻击者的请求直接被代理设备终结而不会发往服务器。

1、服务器垂直扩展和水平扩容

资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了CC防护的能力。

2、取消域名绑定

一般cc攻击都是针对网站的域名进行攻击,攻击者在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标,达到。

3、部署高防CDN防御

防御CC攻击最简单便捷的方法就是通过接入高防CDN来隐藏服务器源IP,高防CDN可以自动识别恶意攻击流量,对这些虚假流量进行智能清洗,将正常访客流量回源到源服务器IP上,保障源服务器的正常稳定运行。


我们可以对CC攻击的攻击特征进行针对性CC防护配置,因为当发生了CC攻击的时候,抓包后可以很明显的发现大量的访问都集中在某几个或者多个页面。一般情况客户在访问业务的时候不会集中在几个页面,而是比较分散的。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇领先的VPN服务发现存在重大后门安.. 下一篇服务器如何防护DDoS才能转危为安?

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800