題主你好！

CC與DDoS攻擊的技術區別:

我們經常說網站被攻擊，其實也就是我們使用的伺服器被攻擊，比較常見的攻擊模式有CC跟DDoS，這是兩種比較常見的攻擊方式。那有的使用者可能就問了，什麼是CC攻擊，什麼又是DDoS攻擊，這兩者攻擊原理是什麼，兩者的區別又是什麼？壹基比小喻來給你分享一波

下邊簡單說說這兩者的工作原理：

CC攻擊：

CC的前世是一個攻擊程式，叫做fatboy，這是駭客為了挑戰綠盟的一款防DDoS裝置開發的，它應該算是一個應用層的DDoS，是發生在TCP3次握手完成之後，它傳送的ip其實都是真的。但是應用層的DDoS比網路層的DDoS更厲害，而且現在的大部分商業anti-DDOS裝置，在防禦網絡層的DDoS的效果較好，應對應用層的DDoS攻擊目前是還沒有有效的手段。其實CC的攻擊原理也比較簡單，就是對一些那些比較耗費資源應用頁面不停的發出請求，從而達到消耗資香港伺服器資源的目的，在web應用中，查詢資料庫，讀寫硬碟檔案的等操作都是比較消耗資源的。

DDoS攻擊：

DDoS的攻擊原理是：利用網路過載進行干擾或是阻礙正常的網路通訊，然後向香港伺服器申請大量的請求，導致香港伺服器超負荷執行。從而達到，阻斷正常資料請求，也就是阻礙正常訪客對香港伺服器發出的正常請求。幾種比較常見的DDoS攻擊有ICMP flood，SYN flood，UDP flood，而SYN flood又是最常見的攻擊方式，它是利用TCP協議設計中得缺陷（3次握手）進行的，在它攻擊的時候會製造很多的偽ip源地址，然後向香港伺服器傳送大量的SYN包，之後香港伺服器會返回ACK/SYN包，但是IP是偽造的，所以香港伺服器是不會受到應答的，會重試3-5次，並且等待一個SYN time（一般是39秒到2分鐘），如果超時則丟棄這個連線。

攻擊者傳送大量的這種偽造源地址的SYN請求，服務端會消耗很多的資源（CPU和記憶體）來處理這種半連線，同時還要對這些請求進行SYN/ACK重試，最後的結果就是香港伺服器無暇理睬正常的連線請求，導致拒絕服務。這就是DDoS的攻擊原理。

這兩者的主要區別在於：CC攻擊模擬使用者對一些比較消耗資源的網頁進行攻擊，而DDoS攻擊則是針對ip進行攻擊，兩者的危害也是不一樣的，DDoS的攻擊會比CC攻擊更難防禦，造的危害會更大，如果是一般的香港伺服器一旦被攻擊，是很容易**的，所以如果你的香港伺服器經常被攻擊的話，那就需要選擇具有防禦的高防伺服器。

CC攻擊（Challenge Collapsar）是DDOS（分散式拒絕服務）的一種，前身名為Fatboy攻擊，也是一種常見的網站攻擊方法。攻擊者透過代理伺服器或者肉雞向向受害主機不停地發大量資料包，造成對方伺服器資源耗盡，一直到宕機崩潰。相比其它的DDOS攻擊CC似乎更有技術含量一些。這種攻擊你見不到真實源IP，見不到特別大的異常流量，但造成伺服器無法進行正常連線。最讓站長們憂慮的是這種攻擊技術含量低，利用更換IP代理工具和一些IP代理一個初、中級的電腦水平的使用者就能夠實施攻擊。

1. 利用Session做訪問計數器：利用Session針對每個IP做頁面訪問計數器或檔案下載計數器，防止使用者對某個頁面頻繁重新整理導致資料庫頻繁讀取或頻繁下載某個檔案而產生大額流量。（檔案下載不要直接使用下載地址，才能在服務端程式碼中做CC攻擊的過濾處理）

3. 增強作業系統的TCP/IP棧

Win2000和Win2003作為伺服器作業系統，本身就具備一定的抵抗DDOS攻擊的能力，只是預設狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵禦數百個，具體怎麼開啟，自己去看微軟的文章吧！《強化 TCP/IP 堆疊安全》。也許有的人會問，那我用的是Linux和FreeBSD怎麼辦？很簡單，按照這篇文章去做吧！《SYN Cookies》。

4. 在存在多站的伺服器上，嚴格限制每一個站允許的IP連線數和CPU使用時間，這是一個很有效的方法。CC的防禦要從程式碼做起，其實一個好的頁面程式碼都應該注意這些東西，還有SQL注入，不光是一個入侵工具，更是一個DDOS缺口，大家都應該在程式碼中注意。舉個例子吧，某伺服器，開動了5000線的CC攻擊，沒有一點反應，因為它所有的訪問資料庫請求都必須一個隨機引數在Session裡面，全是靜態頁面，沒有效果。突然發現它有一個請求會和外面的伺服器聯絡獲得，需要較長的時間，而且沒有什麼認證，開800線攻擊，伺服器馬上滿負荷了。程式碼層的防禦需要從點點滴滴做起，一個指令碼程式碼的錯誤，可能帶來的是整個站的影響，甚至是整個伺服器的影響!

5. 伺服器前端加CDN中轉(免費的有百度雲加速、360網站衛士、加速樂、安全寶等)，如果資金充裕的話，可以購買高防的盾機，用於隱藏伺服器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，伺服器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。

另外，防止伺服器對外傳送資訊洩漏IP地址，最常見的情況是，伺服器不要使用傳送郵件功能，因為郵件頭會洩漏伺服器的IP地址。如果非要傳送郵件，可以透過第三方代理(例如sendcloud)傳送，這樣對外顯示的IP是代理的IP地址。

只要伺服器的真實IP不洩露，10G以下小流量DDOS的預防花不了多少錢，免費的CDN就可以應付得了。如果攻擊流量超過20G，那麼免費的CDN可能就頂不住了，需要購買一個高防的盾機來應付了，而伺服器的真實IP同樣需要隱藏。