CC攻擊是DDoS(分布式拒絕服務)的一種，相比其它的DDoS攻擊CC似乎更有技術含量一些。這種攻擊你見不到虛假IP，見不到特別大的異常流量，但造成服務器無法進行正常連接，一條ADSL的普通用戶足以掛掉一臺高性能的Web服務器。

[[354918]]

由此可見其危害性，稱其為“Web殺手”毫不為過。最讓站長們憂慮的是這種攻擊技術含量不是很高，利用工具和一些IP代理，一個初、中級的電腦水平的用戶就能夠實施DDoS 攻擊。

CC攻擊的原理

CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方服務器造成服務器資源耗盡，一直到宕機崩潰。CC主要是用來攻擊頁面的，每個人都有這樣的體驗：當一個網頁訪問的人數特別多的時候，打開網頁就慢了。

CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數據操作(就是需要大量CPU時間)的頁面，造成服務器資源的浪費，CPU長時間處于100%，永遠都有處理不完的連接直至就網絡擁塞，正常的訪問被中止。

網站被CC攻擊的癥狀

1、如果網站是動態網站，比如asp/asp.net/php等，在被CC攻擊的情況下，IIS站點會出錯提示SERVER IS TOO BUSY，如果不是使用IIS來提供網站服務，會發現提供網站服務的程序無緣無故自動崩潰，出錯。如果排除了網站程序的問題，而出現這類型的情況，基本上可以斷定是網站被CC攻擊了。

2、如果網站是靜態站點，比如html頁面，在被CC攻擊的情況下，打開任務管理器，看網絡流量，會發現網絡應用里數據的發送出現嚴重偏高的現象，在大量的CC攻擊下，甚至會達到99%的網絡占用，當然，在被CC攻擊的情況下網站是沒辦法正常訪問的，但是通過3389連接服務器還是可以正常連接。

3、如果是被小量CC攻擊，則站點還是可以間歇性訪問得到，但是一些比較大的文件，比如圖片會出現顯示不出來的現象。如果是動態網站被小量CC攻擊，還會發現服務器的CPU占用率出現飆升的現象。這是最基本的CC攻擊癥狀。

CC攻擊防御策略

確定Web服務器正在或者曾經遭受CC攻擊，那如何進行有效的防范呢?

(1).取消域名綁定

一般cc攻擊都是針對網站的域名進行攻擊，比如我們的網站域名是“www.abc.com”，那么攻擊者就在攻擊工具中設定攻擊對象為該域名然后實施攻擊。

對于這樣的攻擊我們的措施是在IIS上取消這個域名的綁定，讓CC攻擊失去目標。具體操作步驟是：打開“IIS管理器”定位到具體站點右鍵“屬性”打開該站點的屬性面板，點擊IP地址右側的“高級”按鈕，選擇該域名項進行編輯，將“主機頭值”刪除或者改為其它的值(域名)。

經過模擬測試，取消域名綁定后Web服務器的CPU馬上恢復正常狀態，通過IP進行訪問連接一切正常。但是不足之處也很明顯，取消或者更改域名對于別人的訪問帶來了不便，另外，對于針對IP的CC攻擊它是無效的，就算更換域名攻擊者發現之后，他也會對新域名實施攻擊。

(2).域名欺騙解析

如果發現針對域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環IP是用來進行網絡測試的，如果把被攻擊的域名解析到這個IP上，就可以實現攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會宕機，讓其自作自受。

另外，當我們的Web服務器遭受CC攻擊時把被攻擊的域名解析到國家有權威的政府網站或者是網警的網站，讓其網警來收拾他們。

現在一般的Web站點都是利用類似“新網”這樣的服務商提供的動態域名解析服務，大家可以登錄進去之后進行設置。

(3).更改Web端口

一般情況下Web服務器通過80端口對外提供服務，因此攻擊者實施攻擊就以默認的80端口進行攻擊，所以，我們可以修改Web端口達到防CC攻擊的目的。運行IIS管理器，定位到相應站點，打開站點“屬性”面板，在“網站標識”下有個TCP端口默認為80，我們修改為其他的端口就可以了。

(4).IIS屏蔽IP

我們通過命令或在查看日志發現了CC攻擊的源IP，就可以在IIS中設置屏蔽該IP對Web站點的訪問，從而達到防范IIS攻擊的目的。在相應站點的“屬性”面板中，點擊“目錄安全性”選項卡，點擊“IP地址和域名現在”下的“編輯”按鈕打開設置對話框。

在此窗口中我們可以設置“授權訪問”也就是“白名單”，也可以設置“拒絕訪問”即“黑名單”。比如我們可以將攻擊者的IP添加到“拒絕訪問”列表中，就屏蔽了該IP對于Web的訪問。