文武双全个人网站近期遭受了一轮严重的CC攻击，攻击开始自日13时，到日凌晨1点结束。下面说说在这轮攻击中，一些有趣的事情。
此次CC攻击的症状和攻击方式解析
攻击方式解析：黑客是通过大量代理及肉鸡，伪装成百度蜘蛛，不停的访问文武双全个人网站（）的首页。把带宽跑满，造成文武双全个人网站无法打开。
此轮CC攻击的特征：
1、攻击对象：为文武双全个人网站的首页，即只针对网站域名（）发动DDOS类攻击；
2、攻击IP来源为：大量的代理服务器、大量IDC（包括阿里云）被黑的服务器、国内外的肉鸡、被黑的网站等；
3、攻击地址伪装成百度蜘蛛：通过nginx生成的日志，可以清楚地看到这些非法请求被伪装成百度蜘蛛；
4,、服务器仅仅是带宽跑满，CPU、内存、占用极低；
阿里云对CC攻击防御很弱，可以说基本无效
很多人都知道，文武双全个人网站使用的是阿里云主机。网站自带阿里云的云盾，把域名加入WAF后，能够有效的防御一些DDOS攻击和MYSQL注入攻击等。但是阿里云对CC攻击的防御很弱，可以说基本是无效的。而且云盾自身就是个大坑，给文武双全造成了很大的麻烦。
阿里云的云盾导致安全狗和Apache的防DDOS的modules全部失效
云盾实际上就是一个大的代理服务器，所有访客的请求，都会先到达云盾，再解析到云盾下面的网站。文武双全使用的是WDCP面板的LNAMP环境，nginx做前端，apache做后端。也就是说我的apache实际上是经过两层代理，才拿到客户的访问请求。
这中间就有个大坑，也可能是我自己没配置好吧
假设一个客户的IP地址是：114.114.114.114，那么经过云盾的转发后，客户的ip地址全部会变成云盾的ip地址。云盾有一个ip段，大概是42.121.43.1-42.121.43.255。这个地址是会变的，所以黑客就无法拿到你的真实ip地址。通过ip地址攻击你网站的方法就行不通了！但是这样就造成一个严重的后果就是，后端的web服务拿不到云盾的真实ip。
文武双全碰到的问题是，经过云盾之后，前端的nginx可以拿到攻击者的真实ip地址，但是apache死都拿不到。阿里云官方公布了单独的nginx环境和单独的apache环境下，拿到通过代理访问者真实ip的方法。但是唯独没有nginx+apache环境下，拿到通过代理访问的访客真实ip的方法。
文武双全奋战通宵，试了各种方法，apache都无法拿到访客的真实ip。国内知名安全软件安全狗的linux版本，主要就是通过apache拿到访客真实ip后，对这些ip进行封禁来对抗CC攻击。
在云盾下，lanmp环境无法拿到代理访客的真实ip，就造成apache的防DDOS的Modules失效，而且安全狗也失效了。
阿里云环境下，安全狗造成云主机的CPU爆满
后来文武双全去掉了文武双全个人网站的云盾防护，安全狗已经apache的防DDOS的Modules都可以正常工作了。但是安全狗又带来另外一个问题，那就是虽然攻击者能够被正常识别，可以拿到这些真实ip地址，但是CPU确跑到100%了，导致服务器内存溢出而死机了。连putty都等不进去，只能通过VNC连接。比被CC攻击还恐怖，而且查询了安全狗官方论坛，发现好多例这样的情况。
文武双全个人预计，可能是因为文武双全的阿里云主机的CPU只有一核或者说阿里云的CPU太垃圾导致的。我们公司在IDC机房托管的独立服务器，同样安装了安全狗吗，就没有这个问题。
无奈之下，只得卸载安全狗。
WDCP帮了不少忙，感叹其设计理念的优异
此次CC攻击只针对的首页，于是只要文武双全在WDCP的后台关闭网站或者关闭httpd进程，服务器就可以正常访问。putty可以登录，wdcp的后台也可以登录，这里不得不感叹WDCP这种设计思路是非常牛逼 的。远远不像某些人说的那么垃圾，你说别人垃圾可是你自己又做不出来比别人更好的东西，真他妈垃圾。
通过这次被CC攻击，我又发现了一些WDCP好用的地方，这里跟大家分享一下：
1、WDCP的后台用了单独的一个httpd进程：这样你关闭了web的httpd进城以后，wdcp的后台照样可以进。黑客就算把你服务器上的单独一个网站打卦了，丝毫不影响你WDCP系统的正常访问。有人抨击WDCP的这个httpd进程占用资源，你真想节省这点资源，完全可以在不用的时候关掉嘛。
2、后台提供详细的总连接数并且可以按照单IP连接数进行排序：WDCP后台提供的数据并不多，但是每一项都特别有用。在系统管理内有一项连接数管理，可以提供服务器的总连接数，并且按照单IP的连接数进行排序。
这样一个非常神奇的事情发生了！在遭受CC攻击后，文武双全关闭了文武双全个人网站，但是攻击在继续。攻击者的真实IP地址，全部按照攻击次数出现在WDCP后台。而且WDCP后台还可以直接控制iptables防火墙，于是文武双全就把这些攻击者的IP地址，一个一个手动全部加到iptables中禁止访问。
12月24日，做了这个操作。12月25日凌晨，攻击停止了。虽然不知道是不是这个方法起了作用，但是这个思路我觉得可以非常好。对于文武双全这样的网络安全菜鸟来说，已经是没有办法中的办法了。
nginx和apache的防DDOS的Mod不太好用
nginx和apache都有很好的防CC攻击和防ddos的Mod，但是文武双全实在是不太会用。要么规则太严，把自己的IP地址封了。要么就是规则太松，CC攻击把服务器打卦了。感觉还是把这些攻击者的IP地址加到iptables中，永久禁止访问来的可靠。
当然，我可是把每一个ip地址都放到搜索引擎和IP地址库中查询了一遍，才加到iptables中去的。尽量将误删率降低到最低，被封禁的IP地址99%都是代理服务器的ip以及IDC的ip和国外的ip地址。
百度真是个垃圾
当你被攻击后，希望从百度里搜到一点有用的办法，你发现百度真的帮不上你什么忙。百度里搜到的资料，大量是陈旧的过期的，无效的资料。一点忙都帮不上，还耽误你时间和精力。百度赋予老的资料比较高的权重，是他的死穴。百度已经是一个完全为商业而生的搜索引擎，而不是一个国家技术和实力的象征了。
说简单点，百度就是个垃圾。
感谢攻击者又促进了我学习
这一次被攻击，我不像以前那样素手无策了。虽然问题最终不是我解决的，但是我在不停的常识各种方法。四处找人教我怎么用nginx和apache防CC攻击、防DDOS攻击。文武双全个人网站只是个纯原创的个人网站，他不是个商业网站。所以被攻击了我一点都不难过，反而很感谢攻击者，又给了极大的动力去拼命学习。
不过我依然很讨厌这种躲在阴暗的角落，对你发动攻击的人。虽然很感谢你让我又进步了并且学习到很多知识，依然要诅咒你断子绝孙、全家死光、孤独一生、病魔缠身、死无全尸。尼玛，语文不好，骂人的成语只有这么多了。
文武双全决定买书回来好好学习了
被人干掉，是我技术太弱了。我决定不靠百度、不靠网友、不靠QQ群，自己买书回来好好学习学习linux、nginx、apache等，加强自己在网站安全与维护方面的知识。多学习，才能变得强大，才能保护自己的个人网站。
臃肿的wordpress抗攻击的能力真的很差
wordpress抗DDOS类攻击的能力也实在是够差，文武双全个人网站这三年，有过多次被人攻击而网站挂掉的经历。从网站安全的角度来看，我丝毫不觉得wordpress比dedecms好多少。臃肿的wordpress，在文武双全遭遇的这种CC攻击面前，显得是那么的脆弱和无解。我已经用缓存插件，将个人网站搞成了纯静态页面。但是依然那么的无力，跟dedecms生成的纯静态网站感觉差距好大。
文武双全的经验教训
通过这次被人攻击，更加深入了我对网站建设和网站安全的认识。以下是我的个人总结：
1，以后做网站不再用wordpress，改用cms生成纯静态网站，坚决抵制不适合中国国情的泼来品；
2，加强学习，多学习有关网站安全方面的知识；
3，加强防护意识，多尝试高端防护技术，比如说通过负载均衡提高抗攻击能力等；
4，加强对网站并发能力的测试，以前自己在这方面的能力几乎是零；
5，努力学习一门脚本语言，比如我正在恶补的javascript和node.js等；
6，自己也要学习一些攻击手段，知己知彼方能立于不败；
最后，我还是要感谢这位攻击者。你真的对刺激我学习，起了很大的作用。这可能就是硬币的另外一面吧！网站被CC攻击，想问一下有什么好的处理办法！防止攻击！
本回答由提问者推荐
var sogou_ad_id=731547;
var sogou_ad_height=160;
var sogou_ad_width=690;一，防御方式&
1)JavaScript方式输出入口&
演示可以看下面这张图：&
第一次访问的时候，不是直接返回网页内容，而且返回这段JS程序。&
作用就是计算出入口变量的值，然后在访问的网址后面加上类似于”?jdfwkey=hj67l9″的字串，组合成新的网址，然后跳转，当防火墙验证了jdfwkey的值(hj67l9)是正确的之后，就放行，一段时间内就不会再出这个判断程序的页面。&
2)301或者302转向方式输出入口&
原理和1类似，区别在于把入口直接输出在了HTTP头部信息里，不重复叙述了。&
2.5)还有一些把入口通过其他方式输出的，比如cookie，类似于1和2，原理都是在第一次访问的时候设置一道槛。这个就不单独计算为一条了。&
3)屏蔽代理&
由于一部分的CC攻击是利用代理服务器发起的，所以有些时候防CC会屏蔽掉带x-forward-for这个值的IP，对匿名代理无效。&
4)判断速率&
由于CC攻击是持续的发起请求，所以发起攻击的IP在单位时间内的请求数量会明显比正常多出很多，通过把请求频率过高的IP屏蔽掉来防御。&
这个基本是最后的无敌大招了，必须在用户输入验证码后才能访问。&
二，防御效果(突破方式)&
1中的防护方式用的最早并且用的最多的是金盾防火墙。也正是由于用的人太多了，市面上已经有突破金盾防火墙的软件在出售，原理就是通过JS解析引擎计算出jdfwkey的值。&
突破2的方式更简单，和1差不多，只不过是直接在HTTP头中，连JS引擎都省了。&
3无法硬性突破，也就是说，如果屏蔽了带x-forward-for的IP，那么它就不可能访问到。&
突破4的方式就是限制请求速度，但是这对于攻击者是一个挑战，限制单个攻击源的请求速度，并且保证攻击效果，这就要求攻击者拥有更多倍的攻击源(肉鸡)。&
对于5，验证码识别是个大话题，目前阶段几乎不可能应用到CC攻击中，未来也不太可能。但是网络上有很多的打码平台，如果和这些平台对接的话，人工识别验证码，就OVER了(应该不会有人去搞，太麻烦)。&
对于所有的防护方式，如果是把网站域名解析到了别处，通过其他机器转发请求来防御CC攻击流量的(比如CDN)，都可以通过添加HOST值的方式将流量发到真实机器上，使这些防护失效。找查网站真实IP的方法很多很复杂，不能保证100%都能找得到，本文不做叙述。&
三，负作用&
有些IP，我们会要求它一直可以访问到网站内容，比如蜘蛛，比如交易类网站的支付宝异步通知。&
但是收集这些IP，几乎是无法100%准确的收集到的(可能有人会想到useragent，一句话：攻击者可以伪造)。&
下面要讲的，就不再考虑上述的这个问题了。&
对于1和2，对访客几乎不会造成影响，判断过程是由浏览器自动完成的。&
对于3，由于个别的网络环境，在没有使用代理的情况下，也会在浏览器访问时强行加上x-forward-for的值，最终的导致的就是这个访问无法访问。其实在现在这个年代，除了CC攻击中使用的代理IP外，剩的带x-forward-for的IP，几乎都是这样的情况，也就是访客本地网络环境强加上的。早些年设置代理主要是因为那个时候网速差，用于提高速度。现在搬梯子时设置的SSH代理一般不会加上x-forward-for。&
对于4，可能会造成误封。而且这个判断攻击的阀值也没法精确的设置，只能凭经验以及分析网站的具体情况。&
对于5，对用户体验会产生影响，并且长期下去，对网站形象也会产生影响。&
总结下来就是，几乎所有方式，都会产生或多或少的负作用，所以，任何一种防护方式，在没事的时候不要开，只在被攻击的时候开启。&
封 http_user_agent 屡试不爽&
偶尔有useragent也随机的cc攻击，可以封 http_refferer，总归有共同点，通过tail日志几秒就看得出来&
nginx一个简单的if判断return一个503之类，或者apache一个简单的deny配置&
一般一分钟内搞定
具体的应该是ECS+SLB+百度cdn
一些防CC攻击手段方法，对搜索引擎并不友好。
四，什么样的网站容易被CC攻击&
在我处理过的CC攻击中，主要消耗的是CPU和内存，通常在带宽被占满前CPU和内存已经爆掉。&
而对于静态网站，也就是生成HTML页面的网站，静态请求占用的CPU和内存是极低的，所以几乎不太可能出现生成HTML后被CC攻击挂掉的情况。&
所以，被CC的主要都是动态网站，比如Discuz，Wordpress等。&
五，都是什么人在攻击&
1)无聊恶作剧&
2)打击报复&
3)敲诈勒索&
4)同行恶意竞争&
今天遇到的一起攻击事件，某网站被敲诈1万块(也就是前文中的截图，网站有金盾防护，但是被肉鸡穿透)。于是理了理思绪，写下了这些经验之谈，与大家分享。
&&相关文章推荐
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：974908次
积分：15216
积分：15216
排名：第652名
原创：706篇
转载：28篇
译文：16篇
评论：289条
(18)(19)(40)(20)(26)(60)(53)(55)(46)(61)(58)(38)(47)(6)(3)(1)(18)(12)(4)(6)(13)(7)(3)(5)(5)(6)(2)(1)(2)(3)(4)(1)(21)(46)(38)(1)有人知道怎么用java代码防止CC攻击吗？ - ITeye问答
取消域名绑定
一般cc攻击都是针对网站的域名进行攻击，比如网站域名是“xxx”，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。
对于这样的攻击措施是在ⅡS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开“ⅡS管理器”定位到具体站点右键“属性”打开该站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编辑，将“主机头值”删除或者改为其它的值（域名）。
实例模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不便，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。
域名欺骗解析
如果发现针对域名的CC攻击，可以把被攻击的域名解析到127.0.0.1这个地址上。知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。另外，当Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。
更改Web端口
一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行ⅡS管理器，定位到相应站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的端口就可以了。
ⅡS屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP，就可以在ⅡS中设置屏蔽该IP对Web站点的访问，从而达到防范ⅡS攻击的目的。在相应站点的“属性”面板中，点击“目录安全性”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该IP对于Web的访问。
IPSec封锁
IPSec是优秀的系统防火墙，在排除其他还有别的类型的DDOS攻击时，针对CC攻击可以用设置IP策略来对付攻击。以219.128.*.43这个IP为例子，笔者实际操作对该IP的访问封锁。
第一步：“开始→管理工具”，打开“本地安全设置”，右键点击“IP安全策略，在本地机器”选择“创建IP安全策略”，然后点击“下一步”，输入策略“名称”和“描述”。然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。
第二步：右键点击“IP安全策略，在本地机器”选择“管理IP筛选器表和筛选器操作”，在打开的窗口中点“添加”，在“IP 筛选器列表”窗口添人同第一步的名称和描述信息。取消“使用添加向导”的勾选，然后点击“添加”。在“IP 筛选器 属性”窗口的“地址”选项下设置“源地址”为“192.168.1.6”，目标地址为“我的IP地址”，取消对“镜像”的勾选；点击“协议”选项卡，设置“协议类型”为“TCP”，设置“协议端口”为“从任意端口”到“此端口80”最后确定退出。
第三步：在“新规则 属性”窗口中点选刚才创建的“封CC攻击”规则，点击“筛选器操作”选项卡下的“添加”，点选“安全措施”下的“阻止”，在“常规”选项卡下为该筛选器命名为“阻止CC攻击”然后确定退出。
第四步：点选刚才创建的“阻止CC攻击”筛选器，一路“确定”退出IP策略编辑器，可以看到在组策略窗口的中创建成功一个名为“封CC攻击”的策略，然后右键点击该策略选择“指派”。这样就实现了对该IP的封锁。
防火墙
除了利用上述方法外，还可以通过第三方的防火墙进行防范，打开防护墙防火墙可以了，笔者以天鹰ddos防火墙为例进行演示。安装好天鹰ddos防火墙即可开启防护，傻瓜式配置界面，默认参数即可防护网站，误封较少，智能识别蜘蛛。
防CC攻击
使用加速乐云防火墙，若遇到CC攻击时，将自动启动，可以在2分钟内快速确定攻击IP，并封锁IP，完全拦截CC攻击。
已解决问题
未解决问题后使用快捷导航没有帐号？
防CC攻击常用方法及源码下载
防CC攻击常用方法及源码下载
来源：景安网络作者：发布时间： 11:09阅读量：560
摘要: 　　CC攻击是种分布式拒绝服务攻击方法。CC攻击技术含量较低，受CC攻击站点因此比较普遍。不论是中小企业网站，亦或是个人网站，做好防CC攻击工作成了众多站长或网站管理员的日常工作内容。该如何防CC攻击？都有哪些 ...
　　CC攻击是种分布式拒绝服务攻击方法。CC攻击技术含量较低，受CC攻击站点因此比较普遍。不论是中小企业网站，亦或是个人网站，做好防CC攻击工作成了众多站长或网站管理员的日常工作内容。该如何防CC攻击？都有哪些常用方法？
　　1.安装防CC攻击软件：
　　在服务器上，安装预防CC攻击软件，应该算比较常用的方法之。比如安装使用安全狗等安全防护软件，或者安装使用些流量防火墙软件等，只要设置适当，都可以有效防护CC攻击。当然，安装防CC攻击软件，可以预防CC攻击软件的同时，也会占用定的CPU、内存等服务器资源，甚至些防CC攻击软件，需要付费使用。
　　2.使用DNS解析服务：
　　DNS解析服务，本身并不具备预防CC攻击等流量攻击的作用。但我们可以使用如DNSPod、百度云解析、阿里云解析等免费DNS解析服务平台，依靠这些DNS解析服务平台的相关安全防护功能，共同承担CC攻击，从而降低网站服务器压力，减轻CC攻击危害。
　　3.使用CDN加速服务：
　　与DNS解析服务样，CDN加速服务作为个内容分发网络，本身也不具备防CC攻击、DDOS攻击等流量攻击功能。但同样我们可以依赖，如快云CDN、阿里云CDN等免费平台，提高网站访问速度的同时，隐藏网站服务器真实IP地址，起到防CC攻击和降低CC攻击等流量攻击的危害。
　　4.使用网站安全监控防护服务：
　　网站安全监控防护服务，便是针对网站安全的网络服务产品。这类产品能够有效的预防CC攻击、DDOS攻击等流量攻击，且大多为付费服务。网站安全监控防护服务产品，如快云防护，利用云端强大带宽及CDN节点服务器资源，可以有效预防和抵御DDoS、CC等巨大流量型攻击。
　　5.利用防CC攻击代码：
　　对于那些懂些编程技术的网站管理员来说，利用防CC攻击代码，编写相应防CC攻击程序，不仅可以有效防御CC攻击，同时还可以降低服务器资源消耗，和防CC攻击成本。是为理想的种防CC攻击方法。
　　这里就分别提供&&、&&、&&、&&四个防CC攻击源码及相关说明txt文件，便于大家下载，和参考编写相应防CC攻击程序。
上一篇：下一篇：
最新图文推荐
(C)&2016版权所有&经营性备案号：豫B2-
3G空间/50G流量/2M带宽
原价49元/年
注册会员领取免费域名
原价15元/年
限时抢：仅1元
群名称：快云交流群