0x00 CC攻擊的基本原理

CC攻擊利用代理服務(wù)器向網(wǎng)站發(fā)送大量需要較長(zhǎng)計(jì)算時(shí)間的URL請(qǐng)求，如數(shù)據(jù)庫(kù)查詢等，導(dǎo)致服務(wù)器進(jìn)行大量計(jì)算而很快達(dá)到自身的處理能力而形成DOS。而攻擊者一旦發(fā)送請(qǐng)求給代理后就主動(dòng)斷開連接，因??代理并不因??客戶端這邊連接的斷開就不去連接目標(biāo)服務(wù)器。因此攻擊機(jī)的資源消耗相對(duì)很小，而從目標(biāo)服務(wù)器看來，來自代理的請(qǐng)求都是合法的。

以前防CC攻擊的方法

為了防范CC，以前的方法一個(gè)是限制每個(gè)IP的連接數(shù)，這在地址范圍很廣闊的情況下比較難實(shí)現(xiàn);二是限制代理的訪問，因?yàn)橐话愕拇矶紩?huì)在HTTP頭中帶 X_FORWARDED_FOR字段，但也有局限，有的代理的請(qǐng)求中是不帶該字段的，另外有的客戶端確實(shí)需要代理才能連接目標(biāo)服務(wù)器，這種限制就會(huì)拒絕一些正常用戶訪問。

CC攻擊用硬防難防住

CC攻擊比DDOS攻擊更可怕的就是，CC攻擊一般是硬防很難防止住的。

個(gè)人分析原因有三：

一、因?yàn)镃C攻擊來的IP都是真實(shí)的，分散的;

二、CC攻擊的數(shù)據(jù)包都是正常的數(shù)據(jù)包;

三、CC攻擊的請(qǐng)求，全都是有效的請(qǐng)求，無法拒絕的請(qǐng)求。

防CC攻擊思路

防CC有效性在于攻擊方不接受服務(wù)器回應(yīng)的數(shù)據(jù)，發(fā)送完請(qǐng)求后就主動(dòng)斷開連接，因此要確認(rèn)連接是否是CC，服務(wù)器端不立即執(zhí)行URL請(qǐng)求命令，而是簡(jiǎn)單的返回一個(gè)頁面轉(zhuǎn)向的回應(yīng)，回應(yīng)中包含新的URL請(qǐng)求地址。如果是正常訪問，客戶端會(huì)主動(dòng)再次連接到轉(zhuǎn)向頁面，對(duì)用戶來說是透明的;而對(duì)于CC攻擊者，由于不接收回應(yīng)數(shù)據(jù)，因此就不會(huì)重新連接，服務(wù)器也就不需要繼續(xù)進(jìn)行操作。

詳細(xì)原文來自csdn，可去查閱。