提 到防止cc攻击措施_CC攻击概述及防范措施大家在熟悉不过了，那你是否知道防止cc攻击措施_CC攻击概述及防范措施吗？快和小编一起去了解一下吧！

攻击者利用代理服务器向受害主机生成合法请求，实现DDOS，并伪装成cc(ChallengeCollapsar)。

CC主要用于攻击页面。大家都有这样的经历，就是在访问一个论坛的时候，如果论坛很大，访问者很多，那么页面打开速度就会很慢。访客越多，论坛的页面越多，数据库越大，被访问的频率越高，占用的系统资源也相当可观。

(资料图片)

静态页面不需要太多的服务器资源。甚至可以说可以直接从内存中读取并发送给你，但是论坛不一样。当我阅读一个帖子时，系统需要去数据库确定我是否有阅读该帖子的权限。如果有，读出帖子内容，显示3354至少访问过数据库两次。如果数据库的大小为200MB，系统可能需要在这个200MB的数据空间中再次搜索。如果我要找的是一个关键词，那么时间就更可观了，因为之前的搜索可以限制在很小的范围内，比如用户权限只检查用户表，帖子内容只检查帖子表，找到就可以立即停止查询，搜索肯定会对所有数据做出判断，这就消耗了相当大的时间。

CC充分利用了这个特性，模拟多个用户(用户有多少线程)不断访问(访问需要大量数据操作的页面，也就是大量的CPU时间)。这可以通过用一个通用的性能测试软件模拟大量用户并发来实现。

中文名：CC攻击

Mbth:挑战生态灾难

缩写：cc

模型：模拟多个用户的连续访问。

假设服务器A对Search.asp的处理时间需要0.01S(多线程只是时间划分，对结论没有影响)，也就是说他能保证一秒钟100个用户的搜索请求，服务器允许的最大连接时间是60s，那么用CC模拟120个用户的并发连接。1分钟后，服务器的请求是7，200次，处理了6，000次，剩下1，200个并发连接未处理.输了！但问题是，服务器是按照先到先得的顺序丢失的。这1200台服务器是在最后10秒启动的。想甩掉他们吗？现在还早。经过计算，当服务器满的时候开始失去连接，队列中应该有7200个并发连接，那么服务器开始失去连接的速度是120/s，发起的连接也是120/s，服务器总是有无穷无尽的连接，服务器的CPU是100%并且长时间保持。然后，在丢失连接60秒后，服务器判断它不能处理它们，新连接也不能处理它们，因此服务器到达

假设服务器处理搜索只需要0.01S，也就是10ms(这个速度可以去各种有开放时间的论坛)，使用的线程数只有120个。许多服务器失去连接的时间远远超过60秒，并且使用超过120个线程。可想而知，可怕。而且只要客户端发出断开连接，连接就由代理维护，当服务器收到SQL请求时，一定会进入队列。不管连接是否已经断开，而且服务器是并发的，不是顺序执行的，这样更多的请求进入内存请求，给服务器带来更大的负担。

CC=Challenge Collapsar，意思是“挑战黑洞”。它的前身Fatboy attack就是通过不断向网站发送连接请求来达到拒绝服务的目的。业内将这种攻击命名为CC(Challenge Collapsar)是因为在DDOS攻击的早期阶段，大部分攻击都可以被业界熟知的“Collapsar”反拒绝服务攻击系统所保护。所以在黑客开发了一种新的针对http的DDOS攻击后，他们将其命名为Challenge Collapsar，声称黑洞设备无法防御。后来大家把CC这个名字延续至今。有意思的是，后来黑洞(现改名ADS)也能全力防御CC攻击，但这一段的攻守较量还是被传为佳话。

CC攻击是DDOS(分布式拒绝服务)的一种，似乎比其他DDOS攻击更有技术含量。在这次攻击中，你看不到真正的源IP，也看不到特别大的异常流量，但是服务器无法正常连接。最让站长们担心的是，这种攻击技术较低，一个初学或中级计算机水平的用户，通过更换IP代理工具和一些IP代理就可以实施攻击。所以大家有必要了解CC攻击的原理，如果发现CC攻击，如何防范。

CC攻击的原理是攻击者控制一些主机不断向对方服务器发送大量数据包，导致服务器资源耗尽直至崩溃。CC主要用于攻击页面。大家都有这样的经历：当一个网页被大量人访问时，网页打开缓慢。CC就是模拟多个用户(有多少用户就有多少线程)不断访问需要大量数据操作(也就是大量CPU时间)的页面，造成服务器资源的浪费。CPU长时间处于100%，总是有无穷无尽的连接，直到网络拥塞，正常访问暂停。

CC攻击可以归为DDoS攻击的一种。它们之间的原理是一样的，即发送大量请求数据导致服务器拒绝服务是一种连接攻击。CC攻击可以分为代理CC攻击和肉鸡CC攻击。代理攻击被称为cc(Challenge Collapsar)，黑客利用代理服务器向受害主机生成合法的网页请求，实现DDoS，并伪装自己。鸡CC攻击是黑客利用CC攻击软件控制大量鸡，发动攻击。与前者相比，后者更难防守。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法的数据包。

静态页面不需要太多的服务器资源。甚至可以说可以直接从内存中读取并发送给你。但是论坛等动态网站就不一样了。当我阅读一个帖子时，系统需要去数据库确定我是否有阅读该帖子的权限。如果有，读出帖子内容，显示3354至少访问过数据库两次。如果数据库的大小是200MB，那么系统可能必须在这个200MB的数据空间中。如果我要找的是一个关键词，那么时间就更可观了，因为之前的搜索可以限制在很小的范围内，比如用户权限只检查用户表，帖子内容只检查帖子表，找到就可以立即停止查询，搜索肯定会对所有数据做出判断，这就消耗了相当大的时间。

CC attack充分利用了这个特性，模拟多个用户(有多少个用户就有多少个线程)不断访问(访问需要大量数据操作，也就是大量CPU时间的页面，比如asp/php/jsp/cgi)。很多朋友问，为什么要用代理？因为代理可以有效隐藏身份，所以也可以绕过所有防火墙，因为基本上所有防火墙都会检测并发TCP/IP连接数。如果数量超过一定的频率，将被视为连接泛滥。当然也可以用肉鸡发动CC攻击。肉鸡的CC攻击效果更加可观。服务器CPU0甚至崩溃的现象。

代理攻击也可以保持良好的连接。数据发送到这里，代理转发到对方服务器，可以立即断开连接，代理会继续保持与对方的连接(我知道的记录是有人用2000个代理做了35万个并发连接)。

当然CC也可以用这里的方法攻击FTP，游戏端口，聊天室等。还可以实现TCP-FLOOD，经过测试是有效的。

防御CC攻击的方法有很多，比如禁止网站代理访问，让网站尽可能静态，限制连接数，修改最大超时等。

CC攻击具有一定的隐蔽性，那么如何确定服务器正在被攻击或者已经被CC攻击了呢？可以通过以下三种方法来确定。

命令行方法

一般在受到CC攻击时，Web服务器的80端口会对外关闭，因为这个端口已经被大量的垃圾数据堵塞，正常连接已经暂停。您可以通过在命令行输入命令netstat -an来检查它。“SYN_RECEIVED”是TCP连接状态标志，表示“处于连接的初始同步状态”，表示握手响应无法建立，正在等待。这是攻击的特征。一般有很多这样的记录，表示来自不同代理IP的攻击。

分批处理法

以上方法需要手动输入命令，如果Web服务器的IP连接太多，会比较费力。可以建立一个批处理文件，通过这个脚本代码可以确定CC攻击的存在。打开记事本，键入以下代码，将其保存为CC.bat:

@关闭回声

时间/时间日志

netstat-n-p TCP | find ":80 " log . log

记事本log.log

出口

上面的脚本意味着过滤掉所有当前到端口80的连接。当你觉得服务器异常时，可以双击运行批处理文件，然后在打开的log.log文件中查看所有连接。如果同一个IP有多个连接到服务器，基本可以确定该IP是CC攻击服务器。

检查系统日志。

Web日志一般在c:windows system32 log files httperr的目录下，这个目录下使用了一个类似httperr1.log的日志文件，就是Web访问错误的记录。管理员可以根据日志时间属性选择相应的日志打开，分析网页是否受到CC攻击。

默认情况下，Web日志中记录的项目并不多，可以通过S进行设置，让Web日志记录更多的项目进行安全分析。操作步骤是：开始管理工具打开Internet Information Server，展开左边的项目找到对应的网站，然后右键选择属性打开网站属性窗口，点击网站选项卡下的属性，在日志属性窗口的高级选项卡下勾选对应的扩展属性，就可以记录Web日志了。比如发送字节、接收字节、经过时间默认不检查，但是在记录和判断CC攻击时非常有用，可以检查。此外，如果对安全性要求较高，可以在“常规”选项卡下设置“新日志计划表”，每小时或每天记录一次。选中“使用本地时间命名和创建文件”,以确定未来分析的时间。

取消附加域

cc攻击一般都是针对某个网站的域名。比如一个网站的域名是“xxx”，那么攻击者就会在攻击工具中将攻击对象设置为该域名，然后实施攻击。

攻击措施是在S上解绑这个域名，让CC攻击失去目标。具体操作步骤如下：打开S管理器，定位具体站点，右键属性打开该站点的属性面板，点击IP地址右侧的高级按钮，选择要编辑的域名，删除或更改主机头值为另一个值(域名)。

实例测试表明，取消附加域后，Web服务器的CPU立即恢复正常状态，所有通过IP的访问和连接都正常。但是，缺点也很明显。取消或更改域名给其他人的访问带来不便。另外，对于针对IP的CC攻击是无效的。即使更改域名的攻击者发现了，他也会攻击新的域名。

更改Web端口

正常情况下，Web服务器通过80端口向外界提供服务，所以攻击者用默认的80端口进行攻击。因此，我们可以修改Web端口来防止CC攻击。运行的管理器，导航到相应的站点，打开该站点的“属性”面板。“网站ID”下有一个TCP端口，默认为80。我们可以把它改到另一个港口。

屏蔽IP

如果通过命令或查看日志找到CC攻击的源IP，可以在S中设置该IP，阻止其访问网站，从而防止S攻击。在相应站点的“属性”面板中，点击“目录安全”选项卡，点击“现在IP地址和域名”下的“编辑”按钮，打开设置对话框。在此窗口中，我们可以设置“授权访问”，即白名单，或“拒绝访问”，即黑名单。例如，我们可以将攻击者的IP添加到“拒绝访问”列表中，从而阻止该IP访问Web。

IPSec封锁

IPSec是一个优秀的系统防火墙。在排除其他DDOS攻击时，我们可以设置IP策略来应对CC攻击。拿219.128的IP。*.43为例，作者实际上屏蔽了对该IP的访问。

第一步：“开始管理工具”，打开“本地安全设置”，右键“IP安全策略，在本地机器上”，选择“创建IP安全策略”，然后点击“下一步”，输入策略的名称和描述。然后，默认情况下，“Next”会创建一个名为“Blocking CC Attack”的IPSec策略。

第2步：右键单击IP安全策略，在本地计算机上，选择管理IP筛选器表和筛选器操作，在打开的窗口中单击添加，并在IP筛选器列表窗口中添加与第一步相同的名称和描述信息。取消选中“使用添加向导”，然后单击“添加”。在IP过滤器属性窗口的地址选项下，将源地址设置为“192.168.1.6”，目的地址设置为“我的IP地址”，取消选中“镜像”；单击协议选项卡，将协议类型设置为TCP，并将协议端口设置为从任何端口到此端口80，然后退出。

第三步：在“新规则属性”窗口中单击新创建的“拦截CC攻击”规则，在“过滤器操作”选项卡下单击“添加”，在“安全措施”下单击“拦截”，在“常规”选项卡下将过滤器命名为“拦截CC攻击”，然后确认退出。

步骤4:单击刚刚创建的“Block CC Attack”过滤器，并在IP策略编辑器中一直单击“OK”。可以看到在组策略窗口中已经成功创建了一个名为“Block CC Attack”的策略，然后右键单击该策略，选择“Assign”。这样，IP就被屏蔽了。

防火墙

除了以上方法，还可以通过第三方防火墙来防止。打开防护墙防火墙就够了。笔者以天鹰ddos防火墙为例进行论证。安装天鹰ddos防火墙开启保护，傻瓜式配置接口，默认参数可以保护网站，少假封，智能蜘蛛识别。

本文到此结束，希望对大家有所帮助。