应急响应之CC攻击事件
字数 1431 2025-08-15 21:30:39

CC攻击与防御技术详解

一、CC攻击定义与原理

CC(Challenge Collapsar,挑战黑洞)攻击是DDoS攻击的一种特殊类型,通过使用代理服务器向受害服务器发送大量貌似合法的请求来实施攻击。

攻击特点

  • 使用代理机制发动DDoS攻击
  • 利用广泛可用的免费代理服务器
  • 支持匿名模式使追踪困难
  • 主要针对网页进行攻击

攻击分类

  1. 代理CC攻击:黑客借助代理服务器生成指向受害主机的合法网页请求
  2. 肉鸡CC攻击:黑客使用CC攻击软件控制大量肉鸡发动攻击(更难防御)

二、CC攻击判断方法

CC攻击主要通过耗尽服务器资源实现,可通过以下指标判断:

攻击类型 资源消耗 表现症状
CPU资源攻击 CPU占用100% 服务器响应缓慢或崩溃
内存资源攻击 内存占满 网站无法打开或极其卡顿
I/O资源攻击 磁盘I/O满载 文件操作异常缓慢
带宽资源攻击 带宽占满 服务器丢包、掉线

三、CC压力测试方法

1. 在线测试平台

  • https://www.idddos.com/(付费服务)

2. 手动搭建测试环境

  1. 设置HTTP代理

    • 使用免费HTTP代理或自建代理服务器
    • 推荐工具:花刺代理验证

  2. 使用压力测试工具进行测试

四、CC攻击变种:慢速攻击

基本原理

建立连接后以极低速度(1-10秒/字节)发送数据,保持连接不断开,耗尽服务器连接资源。

攻击工具

slowhttptest(GitHub地址:https://github.com/shekyan/slowhttptest)

安装方法

./configure
make && make install
slowhttptest -h

攻击模式

1. Slowloris模式

slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://host.example.com/index.html -x 24 -p 3
  • 利用HTTP Keep-Alive机制
  • 缓慢发送HTTP头部数据
  • 特别影响Apache等thread-based服务器

2. Slow HTTP POST模式

slowhttptest -c 3000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://host.example.com/loginform.html -x 10 -p 3
  • 声明大content-length后缓慢发送body
  • 服务器等待POST内容时资源被消耗

3. Slow Read attack模式

slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://host.example.com/resources/index.html -p 3
  • 调整TCP滑动窗口大小
  • 控制服务器单次发送数据量
  • 请求大资源效果更明显

易受攻击服务器

  • thread-based架构:Apache、httpd(易受攻击)
  • event-based架构:nginx、lighttpd(较难攻击)

五、CC攻击防御措施

1. 服务器扩展

  • 垂直扩展:升级CPU、增加内存、使用SSD
  • 水平扩容:增加服务器数量

2. 数据缓存

  • 将频繁访问数据放入缓存
  • 减轻数据库压力
  • 快速响应并释放进程

3. 页面静态化

  • 生成静态HTML文件
  • 利用客户端/服务端缓存
  • 使用CDN缓冲服务

4. 会话管理

  • 为客户端分配唯一SID(Session ID)
  • 将SID存入缓存
  • 基于SID进行频率限制
  • 拒绝非法SID请求

5. IP限制

  • 在外层防火墙/负载均衡器实施
  • 设置合理阈值防止误伤
  • 结合其他防御措施使用

六、补充防御建议

  1. Web应用防火墙(WAF):部署专业WAF识别和阻断CC攻击
  2. 速率限制:对单个IP的请求频率进行限制
  3. 验证码:对可疑流量引入验证码验证
  4. 行为分析:基于用户行为模式识别异常流量
  5. 日志监控:建立完善的日志监控系统及时发现异常

七、参考资料

  1. 如何提升防御CC攻击的能力 | Laravel China社区
  2. 慢速连接攻击和处理方式 - 博客园
  3. CC攻击 - 简书
CC攻击与防御技术详解 一、CC攻击定义与原理 CC(Challenge Collapsar,挑战黑洞)攻击是DDoS攻击的一种特殊类型,通过使用代理服务器向受害服务器发送大量貌似合法的请求来实施攻击。 攻击特点 使用代理机制发动DDoS攻击 利用广泛可用的免费代理服务器 支持匿名模式使追踪困难 主要针对网页进行攻击 攻击分类 代理CC攻击 :黑客借助代理服务器生成指向受害主机的合法网页请求 肉鸡CC攻击 :黑客使用CC攻击软件控制大量肉鸡发动攻击(更难防御) 二、CC攻击判断方法 CC攻击主要通过耗尽服务器资源实现,可通过以下指标判断: | 攻击类型 | 资源消耗 | 表现症状 | |---------|---------|---------| | CPU资源攻击 | CPU占用100% | 服务器响应缓慢或崩溃 | | 内存资源攻击 | 内存占满 | 网站无法打开或极其卡顿 | | I/O资源攻击 | 磁盘I/O满载 | 文件操作异常缓慢 | | 带宽资源攻击 | 带宽占满 | 服务器丢包、掉线 | 三、CC压力测试方法 1. 在线测试平台 https://www.idddos.com/(付费服务) 2. 手动搭建测试环境 设置HTTP代理 使用免费HTTP代理或自建代理服务器 推荐工具:花刺代理验证 使用压力测试工具进行测试 四、CC攻击变种:慢速攻击 基本原理 建立连接后以极低速度(1-10秒/字节)发送数据,保持连接不断开,耗尽服务器连接资源。 攻击工具 slowhttptest (GitHub地址:https://github.com/shekyan/slowhttptest) 安装方法 攻击模式 1. Slowloris模式 利用HTTP Keep-Alive机制 缓慢发送HTTP头部数据 特别影响Apache等thread-based服务器 2. Slow HTTP POST模式 声明大content-length后缓慢发送body 服务器等待POST内容时资源被消耗 3. Slow Read attack模式 调整TCP滑动窗口大小 控制服务器单次发送数据量 请求大资源效果更明显 易受攻击服务器 thread-based架构 :Apache、httpd(易受攻击) event-based架构 :nginx、lighttpd(较难攻击) 五、CC攻击防御措施 1. 服务器扩展 垂直扩展 :升级CPU、增加内存、使用SSD 水平扩容 :增加服务器数量 2. 数据缓存 将频繁访问数据放入缓存 减轻数据库压力 快速响应并释放进程 3. 页面静态化 生成静态HTML文件 利用客户端/服务端缓存 使用CDN缓冲服务 4. 会话管理 为客户端分配唯一SID(Session ID) 将SID存入缓存 基于SID进行频率限制 拒绝非法SID请求 5. IP限制 在外层防火墙/负载均衡器实施 设置合理阈值防止误伤 结合其他防御措施使用 六、补充防御建议 Web应用防火墙(WAF) :部署专业WAF识别和阻断CC攻击 速率限制 :对单个IP的请求频率进行限制 验证码 :对可疑流量引入验证码验证 行为分析 :基于用户行为模式识别异常流量 日志监控 :建立完善的日志监控系统及时发现异常 七、参考资料 如何提升防御CC攻击的能力 | Laravel China社区 慢速连接攻击和处理方式 - 博客园 CC攻击 - 简书