CC攻击是相对于普通DDoS攻击更加难以防御,CC攻击流量不大,但占用的是服务器的CPU资源。CC攻击来的IP都是真实的,分散的。数据包都是正常的数据包,攻击的请求全都是有效的请求,无法拒绝的请求。具体表现为:服务器可以连接,ping也没问题,但是网页和服务器管理后台就是访问不了,也见不到特别大的异常流量,但是持续时间长,仍能造成服务器无法进行正常连接,危害非常大。
CC攻击原理:CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器的CPU资源,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
解决方法,简单有效,真实可靠:
方法一、使用CDN
CDN类似于负载均衡器, 不同的是CDN对源服务器配置要求不高,普通CDN想要防御CC攻击,需要把网站内容全部缓存至CDN节点,让CC攻击尽可能少的请求进服务器,从而达到防御CC攻击的作用,不过CC攻击会产生大量的流量,如果你的CDN是按量计费的,那么请谨慎使用,一不小心就会产生大量的费用,造成严重经济损失。曾经有人使用腾讯、阿里的CDN一夜欠费上万块。
腾讯CDN防CC设置,比较详细:
IP访问限频设置:
每秒单个IP限制10QPS~60QPS,尽量设置合理,否则无法访问。每秒限制可以防止采集、CC攻击。
腾讯CDN防CC设置
用量封顶配置
可以配置瞬间用量、带宽用量,带宽突发并不大,因网站流量大小而设置;也可以设置累计用量,每5分钟达到300M就返回404.
方法二、宝塔linux面板设置,简单有效
服务器安装有Linux面板 nginx防火墙,茶猫云使用的是专业版,免费版也可以防御。
打开Nginx防火墙,选择全局配置>>CC防御规则,如果受到大量攻击,请求类型选择IP,周末设置为10秒10次,这样能防住99%的CC攻击。
IP模式
Nginx防火墙CC防御规则
在Nginx防火墙的站点配置里面选中网站,把CC防御框勾选。如果加了CDN,记得把CDN勾选,否则网站无法打开。
宝塔面板 nginx防火墙防CC攻击
方法三、硬件配置
此点与方法二相辅相成,CC攻击主要占用CPU资源,核心数多的CPU在裸IP下直接防御CC更有优势!
最后说句,网站静态化、JS验证对CC攻击不怎么友好,因为CC攻击会请求到你服务器,哪怕内容为空也会占用服务器资源。
