网站被CC攻击怎么解决

　　管理网站和服务器的时候，最害怕的就是网站受到CC攻击，特别是一般的服务器带宽并不大，当受到CC攻击的时候，很容易就因为资源被完全抢占而导致服务器崩溃。因此在日常管理维护服务器安全的时候一定要特别注意。下面就为大家介绍一下网站被CC攻击怎么解决。

网站被CC攻击怎么解决？

　　CC攻击的前身是一个叫fatboy的攻击程序，当时是黑客为了挑战绿盟的一款防DDOS设备开发的。

　　攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(Challenge Collapsar)。CC应该算是一个应用层的DDOS，是发生在TCP3次握手已经完成之后，所以发送的IP都是真实的，但应用层的DDOS又是甚至比网络层的DDOS更可怕，因为今天几乎所有的商业anti-DDOS设备，只在对抗网络层DDOS时效果较好，而对应用层DDOS攻击却缺乏有效的手段。

　　CC攻击的原理很简单，就是对一些消耗资源较大的应用页面不断地发起正常的请求，以达到消耗服务端资源的目的，在web应用中，查询数据库、读写硬盘文件的操作，相对都会消耗比较多的资源。CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

怎样防cc攻击

　　1、服务器垂直扩展和水平扩容资金允许的情况下，这是最简单的一种方法，本质上讲，这个方法并不是针对CC攻击的，而是提升服务本身处理并发的能力，但确实提升了对CC攻击的承载能力。垂直扩展：是指增加每台服务器的硬件能力，如升级CPU、增加内存、升级SSD固态硬盘等。水平扩容：是指通过增加提供服务的服务器来提升承载力。上述扩展和扩容可以在服务的各个层级进行，包括：应用服务器、数据库服务器和缓存服务器等等。

　　2、取消域名绑定

　　一般cc攻击都是针对网站的域名进行攻击，攻击者在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定，让CC攻击失去目标。

　　3、数据缓存(内存级别，不要用文件)对于服务中具备高度共性，多用户可重用，或单用户多次可重用的数据，一旦从数据库中检索出，或通过计算得出后，最好将其放在缓存中，后续请求均可直接从缓存中取得数据，减轻数据库的检索压力和应用服务器的计算压力，并且能够快速返回结果并释放进程，从而也能缓解服务器的内存压力。要注意的是，缓存不要使用文件形式，可以使用redis、mem—cached等基于内存的nosql缓存服务，并且与应用服务器分离，单独部署在局域网内。局域网内的网络IO肯定比起磁盘IO要高。为了不使局域网成为瓶颈，千兆网络也是有必要的。

　　4、域名欺骗解析

　　如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。

　　5、部署高防CDN防御

　　防御CC攻击最简单便捷的方法就是通过接入墨者高防CDN来隐藏服务器源IP，高防CDN可以自动识别恶意攻击流量，对这些虚假流量进行智能清洗，将正常访客流量回源到源服务器IP上，保障源服务器的正常稳定运行。

　　6、页面静态化与数据缓存一样，页面数据本质上也属于数据，常见的手段是生成静态化的html页面文件，利用客户端浏览器的缓存功能或者服务端的缓存服务，以及CDN节点的缓冲服务，均可以降低服务器端的数据检索和计算压力，快速响应结果并释放连接进程。

　　7、增强操作系统的TCP/IP栈

　　作为服务器操作系统，Win2000和Win2003具有一定的抵御DDOS攻击的能力。一般默认情况下没有启用。如果启用它们，它们可以承受大约10,000个SYN攻击数据包，具体如何操作可以去微软官方看一下操作方法。

　　8、更改Web端口

　　一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的端口就可以了。

　　9、将网站生成静态页面：

　　大量事实证明，尽可能使网站静态不仅可以大大提高防攻击能力，还会给黑客入侵带来很多麻烦。例如新浪，搜狐，网易等门户网站主要是静态页面。如果您不需要动态脚本，则可以将其发送到另一台单独的主机，以便在受到攻击时避开主服务器。

　　10、用户级别的调用频率限制不管服务是有登陆态还是没登陆态，基于session等方式都可以为客户端分配唯一的识别ID(后称作SID)，服务端可以将SID存到缓存中。当客户端请求服务时，如果没有带SID(cookie中或请求参数中等)，则由服务端快速分配一个并返回。可以的话，本次请求可以不返回数据，或者将分配SID独立出业务服务。当客户端请求时带了合法SID(即SID能在服务端缓存中匹配到)，便可以依据SID对客户端进行频率限制。而对于SID非法的请求，则直接拒绝服务。相比根据IP进行的频率限制，根据SID的频率限制更加精准可控，可最大程度地避免误杀情况。

　　11、屏蔽IP

　　我们通过命令或在查看日志发现了CC攻击的源IP，就可以在防火墙中设置屏蔽该IP对Web站点的访问，从而达到防范攻击的目的。

　　12、使用Session 来执行访问计数器：

　　使用Session为每个IP创建页面访问计数器或文件下载计数器，防止用户频繁刷新页面，导致频繁读取数据库或频繁下载文件以生成大量流量。 (文件下载不应直接使用下载地址，以便在服务器代码中过滤CC攻击)