網(wǎng)絡(luò)攻擊無處不在，很多企業(yè)被黑客攻擊后大量數(shù)據(jù)泄露，造成嚴(yán)重的經(jīng)濟(jì)損失。今天滴盾小編就跟大家聊一下Web服務(wù)器該怎么防御CC攻擊呢?

　　HTTP Flood 俗稱CC攻擊(Challenge Collapsar)是DDOS(分布式拒絕服務(wù))的一種，前身名為Fatboy攻擊，也是一種常見的網(wǎng)站攻擊方法。是針對 Web 服務(wù)在第七層協(xié)議發(fā)起的攻擊。

　　攻擊者相較其他三層和四層，并不需要控制大量的肉雞，取而代之的是通過端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的 HTTP 代理或者 SOCKS 代理，攻擊者通過匿名代理對攻擊目標(biāo)發(fā)起HTTP 請求。

　　匿名代理服務(wù)器在互聯(lián)網(wǎng)上廣泛存在。因此攻擊容易發(fā)起而且可以保持長期高強(qiáng)度的持續(xù)攻擊，同樣可以隱藏攻擊者來源避免被追查。

　　如果 Web 服務(wù)器支持 HTTPS，那么進(jìn)行 HTTPS 洪水攻擊是更為有效的一種攻擊方式。

　　其一，在進(jìn)行 HTTPS 通信時，Web 服務(wù)器需要消耗更多的資源用來認(rèn)證和加解密。

　　其二，目前一部分防護(hù)設(shè)備無法對 HTTPS 通信數(shù)據(jù)流進(jìn)行處理，會導(dǎo)致攻擊流量繞過防護(hù)設(shè)備，直接對 Web 服務(wù)器造成攻擊。

　　1. 利用Session做訪問計數(shù)器

　　利用Session針對每個IP做頁面訪問計數(shù)器或文件下載計數(shù)器，防止用戶對某個頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個文件而產(chǎn)生大額流量。(文件下載不要直接使用下載地址，才能在服務(wù)端代碼中做CC攻擊的過濾處理)

　　2. 把網(wǎng)站做成靜態(tài)頁面

　　大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧!目前自媒體門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨(dú)主機(jī)去，免的遭受攻擊時連累主服務(wù)器。

　　3. 增強(qiáng)操作系統(tǒng)的TCP/IP

　　Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，自己去看微軟的文章吧!

　　4. 服務(wù)器前端加CDN中轉(zhuǎn)

　　如果資金充裕的話，可以購買高防的盾機(jī)，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來解析。

　　另外，防止服務(wù)器對外傳送信息泄漏IP地址，最常見的情況是，服務(wù)器不要使用發(fā)送郵件功能，因為郵件頭會泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件，可以通過第三方代理(例如sendcloud)發(fā)送，這樣對外顯示的IP是代理的IP地址。

　　確定Web服務(wù)器正在或者曾經(jīng)遭受CC攻擊，那如何進(jìn)行有效的防范呢?

　　(1).取消域名綁定

　　一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊，比如我們的網(wǎng)站域名是“www.langyugroup.cn”，那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實(shí)施攻擊。對于這樣的攻擊我們的措施是取消這個域名的綁定，讓CC攻擊失去目標(biāo)。

　　(2).域名欺騙解析

　　如果發(fā)現(xiàn)針對域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環(huán)IP是用來進(jìn)行網(wǎng)絡(luò)測試的，如果把被攻擊的域名解析到這個IP上，就可以實(shí)現(xiàn)攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會宕機(jī)，讓其自作自受。

　　(3).更改Web端口

　　一般情況下Web服務(wù)器通過80端口對外提供服務(wù)，因此攻擊者實(shí)施攻擊就以默認(rèn)的80端口進(jìn)行攻擊，所以，我們可以修改Web端口達(dá)到防CC攻擊的目的。運(yùn)行IIS管理器。