作為站長，我們十之八九都會經歷大大小小的流量攻擊，但對于DDoS攻擊與CC攻擊，我們可以說是恍恍惚惚，瞎子摸象，難以分清。

那我們今天來講講下這對父子：DDoS與CC以及他們“魚肉”網站的惡霸行徑。

DDoS最初只是叫DoS的小流氓，攻擊方式一般是采用一對一，后來隨著互聯網村的壯大，它的野心也就越大，攻擊網站的方式逐漸演變成多對一，用比從前更大的規模來進攻受害者，惡名越大也就有了外號叫DDoS。

又過了一些年，DDoS有了許多孩子，有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、 Flood、Proxy Flood等。

尤其是DDoS其中的一個孩子叫CC，所謂青出于藍勝于藍，相比其它的DDOS攻擊，CC似乎更有技術含量一些。CC極其頑皮，喜歡通過代理服務器或者肉雞向向受害主機不停地發大量數據包，造成對方服務器資源耗盡，一直到宕機崩潰。

父子倆的區別，爸爸DDoS是針對IP的攻擊，孩子CC攻擊的是網頁，他們都喜歡利用TCP/IP協議的缺陷來欺負網站，針對 WEB 應用程序比較消耗資源的地方進行瘋狂打擊，網站的日常生活可以說是苦不堪言。

一、那么DDoS攻擊的原理到底是什么呢？

DDoS全稱:分布式拒絕服務(DDoS:Distributed Denial of Service)。信息安全的三要素——“保密性”、“完整性”和“可用性”中，拒絕服務攻擊，針對的目標正是“可用性”。該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

拒絕服務攻擊問題一直得不到合理的解決，目前還是世界性難題，究其原因是因為這是由于網絡協議本身的安全缺陷造成的，

從而拒絕服務攻擊也成為了攻擊者的終極手法。

攻擊者進行拒絕服務攻擊，實際上讓服務器實現兩種效果：

一是迫使服務器的緩沖區滿，不接收新的請求；

二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。

二、那么CC攻擊的原理又是什么呢？

我們經常聽別人說，接D單、CC單，CC不也是拒絕服務攻擊嗎?和DDOS兩者有什么區別呢?很多人都分不清楚DDoS攻擊和CC攻擊的區別。

CC攻擊全稱Challenge Collapsar，中文意思是挑戰黑洞，因為以前的抵抗DDoS攻擊的安全設備叫黑洞，顧名思義挑戰黑洞就是說黑洞拿這種攻擊沒辦法，新一代的抗DDoS設備已經改名為ADS(Anti-DDoS System)，基本上已經可以完美的抵御CC攻擊了。

CC攻擊的原理是通過代理服務器或者大量肉雞模擬多個用戶訪問目標網站的動態頁面，制造大量的后臺數據庫查詢動作，消耗目標CPU資源，造成拒絕服務。CC不像DDoS可以用硬件防火墻來過濾攻擊，CC攻擊本身的請求就是正常的請求。

我們都知道網站的頁面有靜態和動態之分，動態網頁是需要與后臺數據庫進行交互的，比如一些論壇用戶登錄的時候需要去數據庫查詢你的等級、權限等等，當你留言的時候又需要查詢權限、同步數據等等，這就消耗很多CPU資源，造成靜態網頁能打開，但是需要和數據庫交互的動態網頁打開慢或者無法打開的現象。

這種攻擊方式相對于前兩種實現要相對復雜一些，但是防御起來要簡單的多，提供服務的企業只要盡量少用動態網頁并且讓一些操作提供驗證碼就能抵御一般的CC攻擊。

三、怎么區分是DDoS和CC攻擊？

DDoS攻擊打的是網站的服務器，而CC攻擊是針對網站的頁面攻擊的，

用術語來說就是，一個是WEB網絡層拒絕服務攻擊（DDoS），一個是WEB應用層拒絕服務攻擊（CC），網絡層就是利用肉雞的流量去攻擊目標網站的服務器，針對比較本源的東西去攻擊，服務器癱瘓了，那么運行在服務器上的網站肯定也不能正常訪問了。

而應用層就是我們用戶看得到的東西，就比如說網頁，CC攻擊就是針對網頁來攻擊的，CC攻擊本身是正常請求，網站動態頁面的正常請求也會和數據庫進行交互的，當這種"正常請求"達到一種程度的時候，服務器就會響應不過來，從而崩潰。

每次雙十一，在大家都忙著準備搶購商品的時候，各大電商平臺的機房往往是燈火通明，緊張觀察一切動態，各種流量清洗設備，軟件硬件都用上了，就是怕到時候服務器崩掉了，那損失可不止一點，電商平臺在這方面的投入資金也是比較大的。

雙十一前夕曾有人笑說， xxxx年最大的DDOS攻擊即將來臨。

本文鏈接：http://www.sztqnet.com/article/334.html