HTTP Flood 俗稱CC攻擊（Challenge Collapsar）是DDOS（分布式拒絕服務(wù)）的一種，前身名為Fatboy攻擊，也是一種常見的網(wǎng)站攻擊方法。是針對(duì) Web 服務(wù)在第七層協(xié)議發(fā)起的攻擊。攻擊者相較其他三層和四層，并不需要控制大量的肉雞，取而代之的是通過(guò)端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的 HTTP 代理或者 SOCKS 代理，攻擊者通過(guò)匿名代理對(duì)攻擊目標(biāo)發(fā)起HTTP 請(qǐng)求。匿名代理服務(wù)器在互聯(lián)網(wǎng)上廣泛存在。因此攻擊容易發(fā)起而且可以保持長(zhǎng)期高強(qiáng)度的持續(xù)攻擊，同樣可以隱藏攻擊者來(lái)源避免被追查。

HTTP/CC 攻擊的特點(diǎn)：

HTTP/CC 攻擊的 ip 都是真實(shí)的，分散的
HTTP/CC 攻擊的數(shù)據(jù)包都是正常的數(shù)據(jù)包
HTTP/CC 攻擊的請(qǐng)求都是有效請(qǐng)求，且無(wú)法拒絕
HTTP/CC 攻擊的是網(wǎng)頁(yè)，服務(wù)器可以連接，ping 也沒問(wèn)題，但是網(wǎng)頁(yè)就是訪問(wèn)不了
如果 WEB環(huán)境 一開，服務(wù)器很快就死，容易丟包。

那如何造成更大的殺傷呢。Web 服務(wù)與 DNS 服務(wù)類似，也存在緩存機(jī)制。如果攻擊者的大量請(qǐng)求命中了服務(wù)器緩存，那么這種攻擊的主要作用僅體現(xiàn)在消耗網(wǎng)絡(luò)帶寬資源上，對(duì)于計(jì)算和 IO 資源的消耗是非常有限的。因此，高效的 HTTP/CC 攻擊 應(yīng)不斷發(fā)出針對(duì)不同資源和頁(yè)面的 HTTP 請(qǐng)求，并盡可能請(qǐng)求無(wú)法被緩存的資源（ 如關(guān)鍵詞搜索結(jié)果、用戶相關(guān)資料等 ），這樣才能更好的加重服務(wù)器的負(fù)擔(dān)，達(dá)到理想的攻擊效果。當(dāng)然 HTTP/CC 攻擊 也會(huì)引起嚴(yán)重的連鎖反應(yīng)，不僅僅是直接導(dǎo)致被攻擊的 Web 前端響應(yīng)緩慢，還間接攻擊到后端的 Java 等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫(kù)服務(wù)，增大它們的壓力，HTTP/CC 攻擊 產(chǎn)生的海量日志數(shù)據(jù)甚至?xí)?duì)日志存儲(chǔ)服務(wù)器都帶來(lái)影響。

如果 Web 服務(wù)器支持 HTTPS，那么進(jìn)行 HTTPS 洪水攻擊是更為有效的一種攻擊方式。原因有二：

其一，在進(jìn)行 HTTPS 通信時(shí)，Web 服務(wù)器需要消耗更多的資源用來(lái)認(rèn)證和加解密。
其二，目前一部分防護(hù)設(shè)備無(wú)法對(duì) HTTPS 通信數(shù)據(jù)流進(jìn)行處理，會(huì)導(dǎo)致攻擊流量繞過(guò)防護(hù)設(shè)備，直接對(duì) Web 服務(wù)器造成攻擊。

確定Web服務(wù)器正在被CC攻擊時(shí)，為了不影響服務(wù)器上的其它業(yè)務(wù)運(yùn)行，如何快速恢復(fù)服務(wù)器正常訪問(wèn)呢？

(1).取消域名綁定
一般cc攻擊都是針對(duì)網(wǎng)站的域名進(jìn)行攻擊，比如我們的網(wǎng)站域名是“www.abc.com”，那么攻擊者就在攻擊工具中設(shè)定攻擊對(duì)象為該域名然后實(shí)施攻擊。 對(duì)于這樣的攻擊我們的措施是取消這個(gè)域名的綁定，讓CC攻擊失去目標(biāo)。

(2).域名欺騙解析
如果發(fā)現(xiàn)針對(duì)域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個(gè)地址上。我們知道127.0.0.1是本地回環(huán)IP是用來(lái)進(jìn)行網(wǎng)絡(luò)測(cè)試的，如果把被攻擊的域名解析到這個(gè)IP上，就可以實(shí)現(xiàn)攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會(huì)宕機(jī)，讓其自作自受。

(3).更改Web端口
一般情況下Web服務(wù)器通過(guò)80端口對(duì)外提供服務(wù)，因此攻擊者實(shí)施攻擊就以默認(rèn)的80端口進(jìn)行攻擊，所以，我們可以修改Web端口達(dá)到防CC攻擊的目的。

(4).安全組拒絕訪問(wèn)

利用云服務(wù)器安全組阻斷所有IP進(jìn)入，只允許自己IP訪問(wèn)，達(dá)到快速恢復(fù)服務(wù)器目的。

(5).關(guān)掉WEB服務(wù)

windows系統(tǒng)關(guān)掉IIS，linux關(guān)掉apache、nginx，網(wǎng)站不運(yùn)行了，服務(wù)器自然就恢復(fù)了。

簡(jiǎn)易CC攻擊防御方法

1. 把網(wǎng)站做成靜態(tài)頁(yè)面：

大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁(yè)面，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來(lái)不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁(yè)面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器。

2. 在存在多站的服務(wù)器上，嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間

這是一個(gè)很有效的方法。CC的防御要從代碼做起，其實(shí)一個(gè)好的頁(yè)面代碼都應(yīng)該注意這些東西，還有SQL注入，不光是一個(gè)入侵工具，更是一個(gè)DDOS缺口，大家都應(yīng)該在代碼中注意。舉個(gè)例子吧，某服務(wù)器，開動(dòng)了5000線的CC攻擊，沒有一點(diǎn)反應(yīng)，因?yàn)樗械脑L問(wèn)數(shù)據(jù)庫(kù)請(qǐng)求都必須一個(gè)隨機(jī)參數(shù)在Session里面，全是靜態(tài)頁(yè)面，沒有效果。突然發(fā)現(xiàn)它有一個(gè)請(qǐng)求會(huì)和外面的服務(wù)器聯(lián)系獲得，需要較長(zhǎng)的時(shí)間，而且沒有什么認(rèn)證，開800線攻擊，服務(wù)器馬上滿負(fù)荷了。代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)腳本代碼的錯(cuò)誤，可能帶來(lái)的是整個(gè)站的影響，甚至是整個(gè)服務(wù)器的影響!

5. 服務(wù)器前端加CDN中轉(zhuǎn)

可以購(gòu)買高CDN百度云加速，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來(lái)解析，百度云加速提供四到七層的DDoS攻擊防護(hù)，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式， 通過(guò)分布式高性能防火墻+精準(zhǔn)流量清洗+CC防御+WEB攻擊攔截，組合過(guò)濾精確識(shí)別，有效防御各種類型攻擊。

另外，防止服務(wù)器對(duì)外傳送信息泄漏IP地址，最常見的情況是，服務(wù)器不要使用發(fā)送郵件功能，因?yàn)猷]件頭會(huì)泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件，可以通過(guò)第三方代理(例如sendcloud)發(fā)送，這樣對(duì)外顯示的IP是代理的IP地址。