作為站長(zhǎng)，我們十之八九都會(huì)經(jīng)歷大大小小的流量攻擊，但對(duì)于DDoS攻擊與CC攻擊，我們可以說是恍恍惚惚，瞎子摸象，難以分清。

那我們今天來講講下這對(duì)父子：DDoS與CC以及他們“魚肉”網(wǎng)站的惡霸行徑。

DDoS最初只是叫DoS的小流氓，攻擊方式一般是采用一對(duì)一，后來隨著互聯(lián)網(wǎng)村的壯大，它的野心也就越大，攻擊網(wǎng)站的方式逐漸演變成多對(duì)一，用比從前更大的規(guī)模來進(jìn)攻受害者，惡名越大也就有了外號(hào)叫DDoS。

又過了一些年，DDoS有了許多孩子，有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、 Flood、Proxy Flood等。

尤其是DDoS其中的一個(gè)孩子叫CC，所謂青出于藍(lán)勝于藍(lán)，相比其它的DDOS攻擊，CC似乎更有技術(shù)含量一些。CC極其頑皮，喜歡通過代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包，造成對(duì)方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。

父子倆的區(qū)別，爸爸DDoS是針對(duì)IP的攻擊，孩子CC攻擊的是網(wǎng)頁，他們都喜歡利用TCP/IP協(xié)議的缺陷來欺負(fù)網(wǎng)站，針對(duì) WEB 應(yīng)用程序比較消耗資源的地方進(jìn)行瘋狂打擊，網(wǎng)站的日常生活可以說是苦不堪言。

一、那么DDoS攻擊的原理到底是什么呢？

DDoS全稱:分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)。信息安全的三要素——“保密性”、“完整性”和“可用性”中，拒絕服務(wù)攻擊，針對(duì)的目標(biāo)正是“可用性”。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。

拒絕服務(wù)攻擊問題一直得不到合理的解決，目前還是世界性難題，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，

從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。

攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：

一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；

二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。

二、那么CC攻擊的原理又是什么呢？

我們經(jīng)常聽別人說，接D單、CC單，CC不也是拒絕服務(wù)攻擊嗎?和DDOS兩者有什么區(qū)別呢?很多人都分不清楚DDoS攻擊和CC攻擊的區(qū)別。

CC攻擊全稱Challenge Collapsar，中文意思是挑戰(zhàn)黑洞，因?yàn)橐郧暗牡挚笵DoS攻擊的安全設(shè)備叫黑洞，顧名思義挑戰(zhàn)黑洞就是說黑洞拿這種攻擊沒辦法，新一代的抗DDoS設(shè)備已經(jīng)改名為ADS(Anti-DDoS System)，基本上已經(jīng)可以完美的抵御CC攻擊了。

CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個(gè)用戶訪問目標(biāo)網(wǎng)站的動(dòng)態(tài)頁面，制造大量的后臺(tái)數(shù)據(jù)庫(kù)查詢動(dòng)作，消耗目標(biāo)CPU資源，造成拒絕服務(wù)。CC不像DDoS可以用硬件防火墻來過濾攻擊，CC攻擊本身的請(qǐng)求就是正常的請(qǐng)求。

我們都知道網(wǎng)站的頁面有靜態(tài)和動(dòng)態(tài)之分，動(dòng)態(tài)網(wǎng)頁是需要與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行交互的，比如一些論壇用戶登錄的時(shí)候需要去數(shù)據(jù)庫(kù)查詢你的等級(jí)、權(quán)限等等，當(dāng)你留言的時(shí)候又需要查詢權(quán)限、同步數(shù)據(jù)等等，這就消耗很多CPU資源，造成靜態(tài)網(wǎng)頁能打開，但是需要和數(shù)據(jù)庫(kù)交互的動(dòng)態(tài)網(wǎng)頁打開慢或者無法打開的現(xiàn)象。

這種攻擊方式相對(duì)于前兩種實(shí)現(xiàn)要相對(duì)復(fù)雜一些，但是防御起來要簡(jiǎn)單的多，提供服務(wù)的企業(yè)只要盡量少用動(dòng)態(tài)網(wǎng)頁并且讓一些操作提供驗(yàn)證碼就能抵御一般的CC攻擊。

三、怎么區(qū)分是DDoS和CC攻擊？

DDoS攻擊打的是網(wǎng)站的服務(wù)器，而CC攻擊是針對(duì)網(wǎng)站的頁面攻擊的，

用術(shù)語來說就是，一個(gè)是WEB網(wǎng)絡(luò)層拒絕服務(wù)攻擊（DDoS），一個(gè)是WEB應(yīng)用層拒絕服務(wù)攻擊（CC），網(wǎng)絡(luò)層就是利用肉雞的流量去攻擊目標(biāo)網(wǎng)站的服務(wù)器，針對(duì)比較本源的東西去攻擊，服務(wù)器癱瘓了，那么運(yùn)行在服務(wù)器上的網(wǎng)站肯定也不能正常訪問了。

而應(yīng)用層就是我們用戶看得到的東西，就比如說網(wǎng)頁，CC攻擊就是針對(duì)網(wǎng)頁來攻擊的，CC攻擊本身是正常請(qǐng)求，網(wǎng)站動(dòng)態(tài)頁面的正常請(qǐng)求也會(huì)和數(shù)據(jù)庫(kù)進(jìn)行交互的，當(dāng)這種"正常請(qǐng)求"達(dá)到一種程度的時(shí)候，服務(wù)器就會(huì)響應(yīng)不過來，從而崩潰。

每次雙十一，在大家都忙著準(zhǔn)備搶購(gòu)商品的時(shí)候，各大電商平臺(tái)的機(jī)房往往是燈火通明，緊張觀察一切動(dòng)態(tài)，各種流量清洗設(shè)備，軟件硬件都用上了，就是怕到時(shí)候服務(wù)器崩掉了，那損失可不止一點(diǎn)，電商平臺(tái)在這方面的投入資金也是比較大的。

雙十一前夕曾有人笑說， xxxx年最大的DDOS攻擊即將來臨。

本文鏈接：http://www.azlx8.cn/article/334.html