企业业务遇到CC攻击，为何让人如此头疼。

随着互联网的普及和应用，网络安全已经成为人们越来越关注的一个问题。

随着网络信息化不断发展，用户对网站体验有着更高的要求，在网络时代，网站的稳定性至关重要，活跃在网络中的恶意攻击者惯用各类攻击手段破坏网站的稳定性。其中，CC攻击是一种专门针对Web应用层进行的攻击，网站一旦遭受CC攻击，业务的连续性、及稳定性就会遭到严重破坏，从而引发更多的业务安全问题。

一、什么是CC攻击？

CC攻击的概念

CC(Challenge Collapsar,挑战黑洞)攻击是DDoS攻击的一种类型，攻击者使用代理服务器向受害服务器Web页面发送大量貌似合法的请求，造成受害服务器资源耗尽，一直到宕机崩溃。

CC攻击中，挑战黑洞是一种形象的比喻。攻击者通过CC攻击对目标服务器（页面）发起挑战，这里的挑战是攻击者企图压垮或击倒服务器的尝试；黑洞则比喻成由于这种攻击造成的资源耗尽和服务器不可用的状态。整个短语的含义是攻击者通过CC攻击挑战目标系统，导致它像被黑洞吞噬一般，无法正常运作。

CC攻击的工作原理

CC攻击（Challenge Collapsar）的工作原理主要集中在通过大量伪造的请求来耗尽目标网站或服务器的资源。将一家餐厅遭受大量虚假预定的情形，将CC攻击原理进行描述：

假设，你经营着一家餐厅，通常情况下，客人会通过电话来预定座位。平时一切正常，直到一天，餐厅遭受了一场恶作剧：

1.大量虚假预定（大量并发请求）

有一伙人不断地打电话来预定座位，但是这些预定并不是真实客户，而是一个团伙恶意发起的。

2.电话线路忙碌（资源消耗）

由于大量虚假电话，餐厅的员工不得不一直应对这些电话。真正有需求的客户反而无法打通电话进行真实的预定。

3.服务中断（目标服务瘫痪）

餐厅员工被这些虚假电话占据了所有时间，导致真正的顾客被忽视。即使真正客户到访，由于员工过于忙碌应对电话，服务质量也大大降低。

4.资源耗尽

餐厅资源（员工和电话线路）被这些恶意的预定请求耗尽，无法为真正的客户提供服务。

5.无法辨别真伪

一开始，餐厅的员工无法分辨哪些是真实的，哪些是虚假的。因为虚假的预定看起来像是普通客户的电话。

6.营业损失

由于无法接待真实的客户，餐厅的收入遭到了损失。同时，餐厅的声誉也因为无法提供有效的服务而受损。

在这个例子中，餐厅代表被攻击的网站或者服务器，虚假预定代表CC攻击中的伪造请求，而餐厅的员工和电话线路代表服务器的处理能力和带宽。这种恶作剧导致餐厅无法正常运营，就像CC攻击使网站或服务器因资源耗尽而无法为真实的用户提供服务一样。

二、CC攻击有什么危害

2023年11月30日，公安部召开新闻发布会，公布了打击黑客犯罪十大典型案例。

（1）一起典型案例显示，今年4月，江苏警方打掉一个自动化攻击平台，查明不法分子以恶意竞争、私人泄愤等为目的，利用该平台实施网络攻击2.6万次，造成大量网站和服务器瘫痪。

（2）无独有偶，同年7月，针对群众反映的北京部分热门景点门票预约难、购票难等问题，北京公安机关成立专班开展相关工作。发现了两个位于外省的非法抢票团伙，通过制作非法抢票软件，用于抢占全国多地热门景点门票，后通过网络加价倒卖。抓获涉案人员16名，涉案金额230余万元。

以上两起案件，攻击者都是通过技术手段，模拟正常访客向目标服务器发送大量请求，最终导致目标服务器瘫痪，业务遭到严重破坏。

这类CC攻击由于其成本低、危害大等特性，在生活中屡见不鲜，特别是在电商、游戏、金融、航旅等高竞争行业内，攻击频发直接挑战企业的防御能力。

1.用户体验受损：当网站服务器不稳定时，用户访问网站的速度会变得缓慢，甚至可能无法访问；这对用户体验造成了极大的影响，也间接影响到了网站口碑。

2.网站流量流失：用户在访问网站时，往往对速度和稳定性有较高的要求，如果网站无法满足这些要求，用户很可能会转而选择其他竞争对手的网站，直接导致流量流失。

3.销售额下降：当业务网站不稳定甚至崩溃时，用户可能无法正常浏览和购买商品，这会导致销售额的下降。

每年的双 11 购物节，在当日 0 点，点击下单购物，大概率会出现一个等待排队的弹窗。这是由于节日的优惠加上限时的打折导致了并发量的增加，加之不法分子在此期间通过机器人进行抢拍、秒杀，或通过钓鱼等手段盗取用户信息，导致整个服务环节充满风险。

双十一的交易值在0点开始后的一段时间会冲到最高，如果这段时间防不住，就有可能引发系统大范围宕机瘫痪，对无数商家、消费者造成难以估量的损失。

除了这些高竞争行业以外，党政机关及政府网站同样也有业务稳定性、连续性的考核指标。

其中在2019年4月发布的《政府网站与政务新媒体监管工作年度考核指标》中就有明确提到：国务院办公厅将每半年对全国政府网站及政务新媒体运行情况进行抽查，每年度对有关监管工作进行考核，抽查和考核结果将予以公开通报。其中“站点无法访问：超过（含）15秒网站仍打不开的次数累计占比超过（含）5%，即单项否决。”就对政府网站提出了稳定和连续的要求。

CC攻击通常的目标

CC攻击（Challenge Collapsar）主要针对网络服务和应用，尤其是那些对外提供服务的网站和在线平台。这种攻击方式的主要目标包括：

网站和Web应用：
公共可访问的网站和Web应用，尤其是流量大、用户多的网站，是CC攻击的常见目标。这包括电子商务网站、新闻门户、社交媒体平台、政府网站等。
API端点：
提供外部服务的API端点也可能成为CC攻击的目标。攻击者可能针对特定的API功能发起攻击，尤其是那些处理复杂或敏感数据的端点。
登录页面和表单：
网站的登录页面和各种提交表单（如搜索框、反馈表、注册页面等）由于需要进行用户身份验证或数据处理，常常成为CC攻击的焦点。
基础设施组件：
包括服务器、负载均衡器和数据库在内的基础设施组件，尤其是那些关键的、负载较高的组件，也可能是CC攻击的目标。
云服务和平台：
使用云服务和平台的企业和应用也可能成为CC攻击的目标，特别是当攻击者试图利用云资源的弹性特性来增加攻击效果时。
金融机构和支付网关：
金融机构、在线支付平台和交易网站等，由于涉及金钱交易，也是CC攻击的高风险目标。
政府和教育机构网站：
政府网站和教育机构的在线服务，由于其公共性质和服务重要性，也可能成为攻击者的目标。

CC攻击的目标往往是那些对外提供重要服务、拥有大量用户或处理敏感信息的网络实体。攻击者的目的通常是通过耗尽这些服务的资源来干扰其正常运作，从而达到拒绝服务的效果。

CC攻击的主要影响

CC攻击（Challenge Collapsar）对目标网站或服务的影响可以是深远和破坏性的，主要包括以下几个方面：

服务中断：
最直接的影响是服务中断。攻击可能导致目标网站或应用服务器过载，无法处理合法用户的请求，从而使服务部分或完全不可用。
性能下降：
即使网站或服务没有完全崩溃，攻击也可能导致性能显著下降，如加载时间变长、响应迟缓。
损害用户体验：
由于服务中断或性能下降，用户体验受到严重影响。这可能导致用户不满和流失，特别是对于电子商务网站来说尤其严重。
经济损失：
对于商业网站，服务中断意味着直接的经济损失，包括丢失的销售收入和可能的赔偿费用。
品牌和声誉损害：
长时间的服务中断或频繁的攻击会损害企业或组织的品牌形象和市场信誉。
资源浪费：
企业需要投入额外资源来应对和缓解攻击，如增加带宽、购买额外的硬件或服务、增加安全防护措施等。
安全风险：
虽然CC攻击本身主要是服务拒绝，但它也可能掩盖更严重的安全威胁，如数据泄露或系统入侵。
合规性和法律问题：
对于处理敏感数据的组织，如金融机构或医疗服务提供商，攻击可能导致合规性问题，甚至引发法律纠纷。
技术挑战：
组织可能需要投入大量技术资源来增强系统的抗攻击能力，包括升级现有的硬件和软件，实施复杂的安全策略。
管理和操作压力：
管理层和IT团队可能面临巨大的压力，不仅要应对攻击本身，还要处理攻击后果，如客户支持、公关应对等。

总的来说，CC攻击不仅对目标网站或服务的技术层面造成影响，还可能对企业的财务、声誉和运营带来严重后果。因此，有效的预防和应对措施对于保护企业免受CC攻击的影响至关重要。

如何识别CC攻击

识别CC攻击（Challenge Collapsar）通常需要监控和分析网络流量，以及留意一些特定的迹象。以下是一些关键的方法和技巧，用于识别可能发生的CC攻击：

流量异常检测：
监控网站或服务器的流量模式。突然的流量增加、流量峰值或非正常访问模式可能是CC攻击的迹象。
请求频率分析：
分析请求频率。如果某个IP地址或一组IP地址在短时间内发送了异常数量的请求，这可能是CC攻击。
资源使用监控：
监控服务器资源使用情况，如CPU、内存和带宽的使用率。资源使用突然飙升可能表明正在发生CC攻击。
服务器响应时间：
检查服务器响应时间。如果服务器响应变慢或出现超时错误，这可能是由于CC攻击导致的资源耗尽。
源IP地址分析：
分析请求的来源IP地址。CC攻击可能来自特定地理位置或网络的集中请求。
用户行为分析：
检查请求的用户行为模式。CC攻击的请求通常缺乏正常用户行为的多样性，可能表现出机械化或重复性的模式。
请求路径和参数检查：
检查请求的URL和参数。CC攻击可能会针对特定的URL或使用异常的查询参数。
错误率监控：
监控错误率，如HTTP 5xx错误。高错误率可能是服务器资源被过度使用的迹象。
安全工具和系统警报：
使用网络安全工具，如Web应用防火墙（WAF）、入侵检测系统（IDS）等，它们可以自动检测和报告可疑活动。
日志分析：
定期审查服务器和应用日志，寻找异常模式或可疑活动。

通过结合这些方法和技术，可以有效地识别CC攻击。然而，鉴于CC攻击通常伪装成合法流量，其识别可能具有一定的复杂性。因此，多层次的安全措施和持续的监控对于保护网络安全至关重要。

三、德迅云安全预防方案

预防和缓解CC攻击需要综合运用云防护等相关产品，以提高网站或服务器的抵抗力。以下是一款最有效的几种预防方案：

（1）德迅高防服务器：

德迅云安全部署的T级别数据中心，具备完善的机房设施，核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送：自主化管理平台、德迅卫士（主机安全防火墙）、WEB云防护（一站式网站安全加速）提供安全、可靠、稳定、高效的体验。

德迅卫士（主机安全防火墙）

系统层主机安全软件，为用户远程提供二次验证体系等。一键后台优化服务器权限、威胁组件、威胁端口。

WEB云防护（一站式网站安全加速）

防SQL注入、XSS跨站，后门隔离保护、WEB SHELL上传、非法HTTP协议请求。

DDoS清洗CC攻击防御

近源清洗多种流量清洗部署方案，无损防御各种DDoS攻击，5s发现恶意请求，10s快速阻断攻击，事前拦截、事后溯源、全方位防黑。

（2）安全加速SCDN：

安全加速（Secure Content Delivery Network，SCDN）是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络（CDN）或全站加速网络（ECDN）的用户，可为加速域名一键开启安全防护相关配置，全方位保障业务内容分发。

Web攻击防护

OWASP TOP 10威胁防护

----有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞，分析漏洞原理，并制定安全防护策略，及时进行防护。

AI检测和行为分析

----通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型，对用户多请求的多元因子进行智能分析，有效提高检出率，降低误报率；通过信息孤岛、行为检测分析，识别恶意攻击源，保护网站安全。

智能语义解析引擎

----提供智能语义解析功能，在漏洞防御的基础上，增强SQL注入和XXS攻击检测能力。

应用层DDoS防护

CC、HTTP Flood攻击防御

----威胁情报库：通过大数据分析平台，实时汇总分析攻击日志，提取攻击特征并进行威胁等级评估，形成威胁情报库。
----个性化策略配置：如请求没有命中威胁情报库中的高风险特征，则通过IP黑白名单、访问频率控制等防御攻击。
----日志自学习：实时动态学习网站访问特征，建立网站的正常访问基线。
----人机校验：当请求与网站正常访问基线不一致时，启动人机校验(如JS验证、META验证等)方式进行验证，拦截攻击。

慢连接攻击防御

----对Slow Headers攻击，通过检测请求头超时时间、最大包数量阈值进行防护。
----对Slow Post攻击，通过检测请求小包数量阈值进行防护。

合规性保障

自定义防护规则

----用户可以对HTTP协议字段进行组合，制定访问控制规则，支持地域、请求头、请求内容设置过滤条件，支持正则语法。

访问日志审计

----记录所有用户访问日志，对访问源进行TOP N，提供趋势分析，可以根据需要提供日志下载功能。

网页防篡改

----采用强制静态缓存锁定和更新机制，对网站特定页面进行保护，即使源站相关网页被篡改，依然能够返回给用户缓存页面。

数据防泄漏

对response报文进行处理，对响应内容和响应进行识别和过滤，根据需要设置数据防泄漏规则，保护网站数据安全。

HTTP流量管理