全面了解CC攻击和防范策略

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
.cn 域名,1个 12个月
简介: CC攻击是一种针对Web服务的攻击,模仿正常用户请求耗尽服务器资源。攻击类型包括直接、肉鸡、僵尸和代理攻击。目标包括网站、API、登录页面、基础设施组件、云服务、金融机构等。影响包括服务中断、性能下降、经济损失、品牌受损及法律问题。判断CC攻击可通过观察CPU上升、网站响应慢或检查系统日志。防护措施包括IP封禁、人机验证、使用安全加速服务、静态化页面、更改端口、完善日志和域名解析策略。CC与DDoS攻击主要区别在于攻击原理、对象、危害、门槛和所需流量。综合运用多种防御策略能有效抵御CC攻击。

一、前言

“ CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。”

二、什么是CC攻击?
CC攻击前身是一个名为Fatboy的攻击程序,而之所以后来人们会称之为CC,也叫HTTP-FLOOD,是因为DDoS攻击发展的初期阶段,绝大部分DDoS攻击都能被业界熟知的“黑洞”(Collapsar,一种安全防护产品)所抵挡,CC攻击的诞生就是为了直面挑战黑洞。所以Challenge Collapsar(挑战黑洞)=CC攻击,如此而来。

CC攻击是针对Web服务在OSI协议第七层协议发起的攻击,攻击者极力模仿正常用户的网页请求行为,发起方便、过滤困难,极其容易造成目标服务器资源耗尽无法提供服务。

三、CC攻击的种类
CC攻击的种类有三种:直接攻击、肉鸡攻击、僵尸攻击、代理攻击。

1.直接攻击:主要针对有重要缺陷的WEB应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。

2.肉鸡攻击:一般是黑客使用CC攻击软件,控制大量肉鸡,肉鸡可以模拟正常用户来访问网站,能够伪造合法数据包请求,通过大量肉鸡的合法访问来消耗服务器资源。

3.僵尸攻击:有点类似于DDOS攻击了,僵尸攻击通常是网络层面的DDoS攻击,WEB应用程序层面上已经无法防御。

4.代理攻击(常见):CC攻击者一般会操作一批代理服务器,比方说100个代理,然后每个代理同时发出10个请求,这样WEB服务器同时收到1000个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时WEB服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,这时就出现页面打开极其缓慢或者白屏。

图片.png

四、CC攻击的目标
CC攻击(Challenge Collapsar)主要针对网络服务和应用,尤其是那些对外提供服务的网站和在线平台。这种攻击方式的主要目标包括:

1.网站和Web应用:

公共可访问的网站和Web应用,尤其是流量大、用户多的网站,是CC攻击的常见目标。这包括电子商务网站、新闻门户、社交媒体平台、政府网站等。

2.API端点:

提供外部服务的API端点也可能成为CC攻击的目标。攻击者可能针对特定的API功能发起攻击,尤其是那些处理复杂或敏感数据的端点。

3.登录页面和表单:

网站的登录页面和各种提交表单(如搜索框、反馈表、注册页面等)由于需要进行用户身份验证或数据处理,常常成为CC攻击的焦点。

4.基础设施组件:

包括服务器、负载均衡器和数据库在内的基础设施组件,尤其是那些关键的、负载较高的组件,也可能是CC攻击的目标。

5.云服务和平台:

使用云服务和平台的企业和应用也可能成为CC攻击的目标,特别是当攻击者试图利用云资源的弹性特性来增加攻击效果时。

6.金融机构和支付网关:

金融机构、在线支付平台和交易网站等,由于涉及金钱交易,也是CC攻击的高风险目标。

7.政府和教育机构网站:

政府网站和教育机构的在线服务,由于其公共性质和服务重要性,也可能成为攻击者的目标。

CC攻击的目标往往是那些对外提供重要服务、拥有大量用户或处理敏感信息的网络实体。攻击者的目的通常是通过耗尽这些服务的资源来干扰其正常运作,从而达到拒绝服务的效果。

五、CC攻击的影响
CC攻击(Challenge Collapsar)对目标网站或服务的影响可以是深远和破坏性的,主要包括以下几个方面:

1.服务中断:

最直接的影响是服务中断。攻击可能导致目标网站或应用服务器过载,无法处理合法用户的请求,从而使服务部分或完全不可用。

2.性能下降:

即使网站或服务没有完全崩溃,攻击也可能导致性能显著下降,如加载时间变长、响应迟缓。

3.损害用户体验:

由于服务中断或性能下降,用户体验受到严重影响。这可能导致用户不满和流失,特别是对于电子商务网站来说尤其严重。

4.经济损失:

对于商业网站,服务中断意味着直接的经济损失,包括丢失的销售收入和可能的赔偿费用。

5.品牌和声誉损害:

长时间的服务中断或频繁的攻击会损害企业或组织的品牌形象和市场信誉。

6.资源浪费:

企业需要投入额外资源来应对和缓解攻击,如增加带宽、购买额外的硬件或服务、增加安全防护措施等。

7.安全风险:

虽然CC攻击本身主要是服务拒绝,但它也可能掩盖更严重的安全威胁,如数据泄露或系统入侵。

8.合规性和法律问题:

对于处理敏感数据的组织,如金融机构或医疗服务提供商,攻击可能导致合规性问题,甚至引发法律纠纷。

9.技术挑战:

组织可能需要投入大量技术资源来增强系统的抗攻击能力,包括升级现有的硬件和软件,实施复杂的安全策略。

10.管理和操作压力:

管理层和IT团队可能面临巨大的压力,不仅要应对攻击本身,还要处理攻击后果,如客户支持、公关应对等。

总的来说,CC攻击不仅对目标网站或服务的技术层面造成影响,还可能对企业的财务、声誉和运营带来严重后果。因此,有效的预防和应对措施对于保护企业免受CC攻击的影响至关重要。

六、如何判断CC攻击
CC攻击是通过大量的代理IP进行访问网站,从而达到网站服务器无法负荷最终瘫痪的过程。要想判断CC攻击,方法有多种:

1.如果发现网站在短时间内cpu直线上升,而且网站打开变慢甚至502错误,那可能是遭受cc攻击了。

2.使用命令行

3.查看系统日志
通过检查日志,判断出cc攻击者的ip,进而对ip进行屏蔽限制。

七、如何防护CC攻击
1.针对IP进行封禁,例如一个IP如果在一秒内请求大于100的,可以封禁掉(一般肉鸡的话,都N多IP,封禁不过来的)
PS:德迅云安全提供区域封禁的措施
图片.png

2.针对被高频访问的URL做人机验证,譬如定制为10秒内访问超过100次的,需要进行真人验证,有效防止被刷(也需要你有足够的宽带,如果宽带不够早就卡死了)
图片.png

3.使用安全加速SCDN,隐藏服务器源IP,任何异常数据都是节点方面承载,阻断拦截异常数量,正常用户数据回源到源服务器上,保障业务安全
图片.png

PS:需要详细了解的话,联系我哦

4.网站页面静态化,网站页面静态化可以较大程度的减少系统资源消耗,从而达到提高抗系统抗攻击能力(业务不同,成本高)。

5.更改Web端口,通常情况Web服务器都是通过80端口提供对外服务,所以黑客发起攻击的默认端口也是80端口,那么修改Web端口,可以起到防护CC攻击的目的。

6.取消域名绑定,黑客发起攻击时,很可能使用攻击工具设定攻击对象为域名,然后实施攻击,取消域名绑定后,可以让CC攻击失去目标,Web服务器的资源占用率也能够迅速恢复正常,因为通过IP还是可以正常访问的,所以对针对IP的CC攻击取消域名绑定是没用的。

7.完善日志,要有保留完整日志的习惯,通过日志分析程序,能够尽快判断出异常访问,同时也能收集有用信息,比如发现单一IP的密集访问,特定页面的URL请求激增等等。

8.更改域名解析,正常的cc攻击都是针对域名而发起的,这时我们可以把域名解析更改为127.0.0.1这个ip地址上,这个ip的作用是回送地址,如果把域名解析到这个ip上,cc攻击就很有可能会直接回流到攻击者自己的服务器上。

八、其他CC攻击防御思路
因为CC攻击通过工具软件发起,而普通用户通过浏览器访问,这其中就会有某些区别。想办法对这二者作出判断,选择性的屏蔽来自机器的流量即可。

初级

普通浏览器发起请求时,除了要访问的地址以外,Http头中还会带有Referer,UserAgent等多项信息。遇到攻击时可以通过日志查看访问信息,看攻击的流量是否有明显特征,比如固定的Referer或UserAgent,如果能找到特征,就可以直接屏蔽掉了。

图片.png

中级

如果攻击者伪造了Referer和UserAgent等信息,那就需要从其他地方入手。攻击软件一般来说功能都比较简单,只有固定的发包功能,而浏览器会完整的支持Http协议,我们可以利用这一点来进行防御。

首先为每个访问者定义一个字符串,保存在Cookies中作为Token,必须要带有正确的Token才可以访问后端服务。当用户第一次访问时,会检测到用户的Cookies里面并没有这个Token,则返回一个302重定向,目标地址为当前页面,同时在返回的Http头中加入set cookies字段,对Cookies进行设置,使用户带有这个Token。

客户端如果是一个正常的浏览器,那么就会支持http头中的set cookie和302重定向指令,将带上正确的Token再次访问页面,这时候后台检测到正确的Token,就会放行,这之后用户的Http请求都会带有这个Token,所以并不会受到阻拦。

客户端如果是CC软件,那么一般不会支持这些指令,那么就会一直被拦在最外层,并不会对服务器内部造成压力。

高级

高级一点的,还可以返回一个网页,在页面中嵌入JavaScript来设置Cookies并跳转,这样被伪造请求的可能性更小。

九、CC攻击和DDoS攻击的区别

1.原理不同

DDoS攻击就是分布式的拒绝服务攻击,属于资源消耗类攻击:通过大量请求消耗正常的带宽和协议栈处理资源的能力,从而达到服务端无法正常工作的目的。

CC攻击算得上是应用层的DDoS,属于服务消耗类攻击,服务消耗类攻击不需要太大的流量,它主要是针对服务的特点进行精确定点打击。而且是经过TCP握手协议之后,CC的攻击原理很简单,就是模拟多个用户对一些资源消耗较大的页面不断发出请求,从而达到消耗服务器资源的目的,当服务器一直都有处理不完的大量数据请求时,服务器资源浪费过多,就会造成堵塞,而正常用户的访问也会被终止,网站陷入瘫痪状态。

2.针对的对象不同

DDOS攻击主要针对IP:DDOS攻击则是通过大量的计算机,制造大量的无用数据对服务器发起攻击,导致服务器的网络拥堵,无法与外界正常连通,进而导致服务器瘫痪。

CC攻击主要针对网站:CC攻击主要模拟大量用户不停地访问网站,使网站的服务器一直处于超负荷状态,让cpu长时间处于100%,导致网络拥堵,进而令其他用户无法正常访问网站。

3.危害不同

DDoS攻击危害性较大,更难防御;
CC攻击的危害不是毁灭性的,但是持续时间长。

4.门槛不同

DDoS攻击门槛高,攻击者一般需要在攻击前搜集被攻击目标主机数目、地址、目标主机的配置性能等,盲目攻击可能效果不佳;

CC攻击门槛低,利用更换IP代理工具即可实施攻击,且目标比较明确。

5.流量大小不同

DDoS攻击比CC攻击所需要流量更大;
CC攻击有时不需要很大的流量。
图片.png

十、总结:
通过实施这些预防和缓解措施,可以显著提高对CC攻击的防护能力,减少攻击对网站或服务的影响。重要的是要采用多层防御策略,结合技术和管理措施,以提供全面的保护。

相关文章
|
6月前
|
Shell Linux 网络安全
linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
205 0
|
云安全 安全 网络安全
80和443端口的作用以及遇到CC攻击该怎么办
80和443端口都是用于网站业务,那么这两个端口是有什么区别呢?
|
云安全 缓存 监控
什么是CC攻击,有什么办法防御CC攻击
CC攻击的前身是一个名为Fatboy的攻击程序,而之所以后来人们会称之为CC,是因为DDoS攻击发展的初期阶段,绝大部分DDoS攻击都能被业界熟知的“黑洞”(Collapsar,一种安全防护产品)所抵挡,CC攻击的诞生就是为了直面挑战黑洞,所以Challenge Collapsar(挑战黑洞).
什么是CC攻击,有什么办法防御CC攻击
|
5月前
|
云安全 安全 BI
CC攻击该怎么防护更好
随着互联网发展,CC攻击成为严峻的网络安全问题。这种DDoS攻击通过操纵大量主机,向目标服务器发送大量请求,导致服务器资源耗尽。应对CC攻击,可以采取以下策略:部署高防IP或SCDN服务,限制请求频率,以及使用验证码验证。德迅云安全提供一站式安全加速解决方案,包括Web应用防火墙、CDN加速和抗DDoS防护,利用AI检测、智能语义解析等技术,有效防御各种网络攻击,同时保证网站内容的快速稳定访问。通过实时数据统计和安全可视化工具,便于监控和应对安全威胁。综合运用这些方法能有效降低CC攻击影响,保障Web应用程序的安全稳定运行。
|
2月前
|
云安全 SQL 安全
揭秘DDoS与CC攻击的异同与防御策略!
本文详细解析了CC攻击与DDoS攻击这两种常见网络威胁,探讨了它们的异同及防御策略。通过一个网站遭遇攻击的真实案例,揭示了CC攻击的隐蔽性和DDoS攻击的强大破坏力。文章还介绍了德迅云的高防服务器解决方案,强调了加强网络安全意识和技术防护的重要性,帮助网站运营者有效抵御网络攻击,确保业务稳定运行。
|
3月前
|
云安全 负载均衡 安全
CC攻击和DDoS攻击
【8月更文挑战第17天】
95 4
|
4月前
|
应用服务中间件 网络安全 nginx
Nginx简易防CC策略规则
Nginx简易防CC策略规则
54 1
|
5月前
|
存储 缓存 负载均衡
CC攻击解析与防御策略
CC攻击是DDoS的一种,利用代理服务器向目标发送大量合法请求,消耗服务器资源。识别特征包括命令行大量"SYN_RECEIVED"连接、IP批量异常连接和日志中异常访问模式。防御策略包括提升服务器性能、数据缓存优化、页面静态化、请求速率限制、IP访问限制及使用CDN。专业高防产品提供智能识别和响应,帮助企业构建全面防御体系。
350 2
|
5月前
|
JavaScript Ubuntu 应用服务中间件
nginx扩展 OpenResty 实现防cc攻击教程
使用OpenResty实现CC攻击防护,包括两个主要步骤:限制请求速度和JS验证。首先,安装依赖(RHEL/CentOS需安装readline-devel, pcre-devel, openssl-devel,Ubuntu需安装libreadline-dev等)。然后,安装Luajit和OpenResty。在Nginx配置中,创建`lua`共享字典并设置`content_by_lua_file`调用lua脚本。lua脚本检查请求频率,超过限制则返回503,否则增加计数。同时,通过JS验证,生成随机码并重定向用户,用户需携带正确验证码请求才能访问。
133 0
|
6月前
|
缓存 负载均衡 安全
每天一技:全面了解CC攻击和防范策略
CC攻击是一种模拟真实用户请求,导致服务器资源耗尽的网络攻击。攻击者利用工具生成木马,控制大量“肉鸡”对目标网站发起恶意请求,使服务器CPU过载,网站无法正常服务。特点是请求有效、IP分散、数据包真实、针对网页。常见类型包括直接攻击、肉鸡攻击、僵尸攻击和代理攻击。判断CC攻击可通过观察CPU usage飙升和系统日志异常。大型网站如某度、Google因代码规范、硬件配置高、缓存策略、严格防火墙和负载均衡等技术能有效防御。防御措施包括IP封禁、人机验证、静态化页面、更改Web端口、日志分析等,或使用SCDN产品提供全面防护,包括Web攻击防护、DDoS防护、合规性保障、流量管理和安全可视化功能。