一、什么是cc攻击？

CC = Challenge Collapsar，意为“挑战黑洞”，其前身名为Fatboy攻击，是利用不断对网站发送连接请求致使形成拒绝服务的目的。业界之所以把这种攻击称为CC(Challenge Collapsar)，是因为在DDOS攻击发展前期，绝大部分的DDOS攻击都能被业界知名的“黑洞”(Collapsar)抵挡住，而CC攻击的产生就是为了挑战“黑洞”，故而称之为Challenge Collapsar。攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

二、CC攻击有那些类型？

1.肉鸡攻击：黑客使用CC攻击软件，控制大量肉鸡模拟正常用户访问网站，伪造合法数据包请求，消耗服务器资源。

2.代理攻击：黑客借助代理服务器生成指向受害网站（受害服务器）的合法网页请求，从而实现DOS和伪装，相对肉鸡攻击更容易防御。

3.SYN-CC攻击：攻击者直接使用高并发来请求目标导致目标网站或应用无法提供正常服务，较为常见。

4.POST流量耗用型：攻击者恶意提交数据交互导致服务中断，带宽耗用很高，通常也会消耗掉大额的短信费用。

5.模拟UA以及常规的百度伪装：属于常规伪装攻击，大部分网站攻击中一般会出现伪装百度的CC攻击，非常普遍。

6.浏览器漏洞CC请求攻击：利用浏览器漏洞控制浏览器来发动攻击，该类攻击不是伪装，是真实请求，比较难防护的攻击类型。

7.路由盒子劫持攻击：这类攻击请求也是合法的，且路由盒子量非常庞大，较难防御，但较少出现。

三、怎么判断自己被CC攻击了 

1.网站日志分析：查看网站日志文件，通常会发现大量的访问请求来自同一IP或同一地区的多个IP地址，并且这些请求都是在短时间内集中发生的。这些请求可能就是CC攻击的痕迹。

2.CPU和内存使用情况检查：如果网站或应用的CPU和内存使用情况异常高，可能意味着被CC攻击了。因为CC攻击会生成大量的合法请求，这些请求会消耗服务器资源，导致服务器负载增加。

3.网络带宽使用情况检查：如果网络带宽使用量异常高，尤其是某一地区的网络带宽使用量异常高，可能意味着被CC攻击了。因为CC攻击通常会通过代理服务器或肉鸡模拟多个用户访问网站，这些访问会占用大量的网络带宽。

4.网站性能测试：对网站进行性能测试，例如使用Ping或Traceroute等工具，可以检测出网站的性能是否下降。如果性能下降明显，可能意味着被CC攻击了。

5.异常流量检测：使用专业的安全工具可以检测出异常流量，例如使用防火墙、入侵检测系统（IDS）等工具可以检测出CC攻击的流量。

四、如何防御CC攻击？ 

1.完善日志：保留完整日志的习惯，通过日志分析程序，能够尽快判断出异常访问，同时也能收集有用信息，比如发现单一IP的密集访问，特定页面的URL请求激增等等。

2.屏蔽IP：如果发现CC攻击的源IP，可以在IIS（Web页面服务组件）、防火墙中设置屏蔽该IP，使该IP没有对Web站点的访问权限，从而达到防御的目的。

3.使用高防：高防都是有专门的防CC防火墙架构的，可以根据不同的CC攻击调整专门的CC防护策略来拦截攻击。

4.安装软防：可以在服务器里面安装软件防火墙，如冰盾，金盾等等防CC软件防火墙。

5.定期检查：定期进行安全检查，以确保及时发现并阻止潜在的CC攻击。

6.升级软件和系统：及时更新软件和操作系统，以修补可能存在的安全漏洞。

7.使用负载均衡：通过负载均衡，将流量分散到多个服务器上，以减轻单台服务器的负担，从而防止CC攻击。

8.配置防火墙规则：通过配置防火墙规则，限制特定IP地址或端口的访问权限，以减少被CC攻击的可能性。

9.建立安全防护机制：建立完善的安全防护机制，包括入侵检测系统（IDS）、安全事件管理（SIEM）等，以便及时发现并应对CC攻击 

根据我这些年的经验来看，CC攻击的目标非常广泛，各种类型的网站或服务。尤其是一些票务网站需要用到抢购的app或者网站等业务，通常这类业务被CC攻击主要途径是因为一些抢购脚本软件造成的，很多都是易语言写的连点器，尽管业务做好了防护手段，但面对这种模仿真实用户的低频cc 是没有很好的解决办法的，只能通过一直增加服务器的配置来获取业务的稳定和访问速度。

Cc攻击本质上就是访问量超过现有资源使用率。

假设你有一台服务器，每天正常有5千人来访问，最大能支持每秒1000人同时访问。如果现在有每秒10000人访问，你服务器就会拒绝服务。但是超过你正常的访问量就一定是攻击吗？

不一定，有很大可能是正常访问，就比如 某博、某票务平台、某宝这些平台，真的是因为攻击才崩溃的吗，有，但不全是，有很多都是因为真实流量过大，服务器拒绝服务了。

拿某博来说，没人会去攻击他，但是服务器还是会拒绝服务，原因大家都知道，还是流量太大了。

应对Cc攻击，理论只需要你的服务器数量与资源可以支持百万ip，每秒访问，服务就会正常。

比如，你的服务器同时支持1万人在线，现在同时来10万人，你加20台服务器，一台平均分配到5000人在线，这不就解决问题了吗？那怕有9万是黑客ip.你也可以正常访问。所以不差钱，只需要加服务器加资源就可以

早期防护主要原理是

1.早期的方法是对源 IP 的 HTTP 请求频率设定阈值，高于既定阈值的 IP 地址加入黑名单。这种方法过于简单，容易带来误杀，并且无法屏蔽来自代理服务器的攻击，因此逐渐废止，取而代之的是基于 JavaScript 跳转的人机识别方案。

2.HTTP Flood 是由程序模拟 HTTP 请求，一般来说不会解析服务端返回数据，更不会解析 JS之类代码。因此当清洗设备截获? HTTP 请求时，返回一段特殊 JavaScript 代码，正常用户的浏览器会处理并正常跳转不影响使用，而攻击程序会攻击到空处。由于 HTTP/CC 攻击 的伪装方式千变万化，很少有策略或者硬件防护能做到完美清洗，所以，针对 HTTP/CC 攻击，我们大多时候需要具备一定技术的网络维护人员进行见招拆招。

这些可以防护，但有一个最大的问题解决了。会误封ip。如果这一个正好是网站大客户，这就亏大了。游戏有一个天天充钱的客户，你给他误封了。结果会损失很大。

CC攻击每秒攻击量上千万 上亿的，市面上能买到软件与硬件都不好用，必须找人定制策略，定制防护方案。如果遇到这些攻击解决不了的 可以联系我一对一定制防护来解决CC攻击难题。不存在误封任何一个真实用户，提供免费的防护测试，防住了再谈费用。