• 什么是DDOS攻擊？

DDOS（分布式拒絕服務(wù)攻擊），全稱
DDoS:DistributedDenialofService。

該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。拒絕服務(wù)攻擊問題一直得不到合理的解決，目前還是世界性難題，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。

• DDoS攻擊原理

通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過向服務(wù)器提交大量請求，使服務(wù)器超負(fù)荷。阻斷某一用戶訪問服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。常 見的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。其中SYN flood是最常見的一種，其原理是TCP協(xié)議設(shè)計(jì)中得缺陷（3次握手）。在SYN flood攻擊時(shí)，首先偽造大量的源IP地址，分別向服務(wù)器發(fā)送的大量的SYN包，服務(wù)器會返回ACK/SYN包，但是IP是偽造的，所以服務(wù)器是不會受 到應(yīng)答的，會重試3-5次，并且等待一個(gè)SYN time（一般是39秒到2分鐘），如果超時(shí)則丟棄這個(gè)連接。攻擊者發(fā)送大量的這種偽造源地址的SYN請求，服務(wù)端會消耗很多的資源（CPU和內(nèi)存）來處 理這種半連接，同時(shí)還要對這些請求進(jìn)行SYN/ACK重試，最后的結(jié)果就是服務(wù)器無暇理睬正常的連接請求，導(dǎo)致拒絕服務(wù)。

CC攻擊及其原理

• 什么是CC攻擊？

CC攻擊全稱“ChallengeCollapsar“”，中文意思是挑戰(zhàn)黑洞，因?yàn)橐郧暗牡挚笵DoS攻擊的安全設(shè)備叫黑洞，顧名思義挑戰(zhàn)黑洞就是說黑洞拿這種攻擊沒辦法，新一代的抗DDoS設(shè)備已經(jīng)改名為ADS(Anti-DDoSSystem)，基本上已經(jīng)可以完美的抵御CC攻擊了。

• CC攻擊原理

CC攻擊的原理很簡單，就是對一些消耗資源交單的應(yīng)用頁面不斷地發(fā)起正常的請求，以達(dá)到消耗服務(wù)端資源的目的，在web應(yīng)用中，查詢數(shù)據(jù)庫、讀寫硬盤文件的操作，相對都會消 耗比較多的資源。

一個(gè)簡單的例子，一個(gè)小的網(wǎng)站，可能被搜索引擎、信息收集等系統(tǒng)的爬蟲爬死，或者是掃描器掃死，這與應(yīng)用層的DDOS攻擊的結(jié)果很像。

CC和DDOS攻擊區(qū)別

• 攻擊目標(biāo)不同

DDoS攻擊打的是網(wǎng)站的服務(wù)器，而CC攻擊是針對網(wǎng)站的頁面攻擊的。

• 防御方式不同

CC不像DDOS可以用硬件防火墻過濾，CC攻擊本身就是正常請求。建議中小型網(wǎng)站采用靜態(tài)頁面的方式，減少了對數(shù)據(jù)庫的交互，CPU消耗少。

• 危害程度不同

CC攻擊相對來說，攻擊的危害不是毀滅性的，但是持續(xù)時(shí)間長；而ddos攻擊就是流量攻擊，這種攻擊的危害性較大，通過向目標(biāo)服務(wù)器發(fā)送大量數(shù)據(jù)包，耗盡其帶寬，更難防御。

• 防御難度不同

CC應(yīng)該算是一個(gè)應(yīng)用層的DDOS，是發(fā)生在TCP3次握手已經(jīng)完成之后，所以發(fā)送的IP都是真實(shí)的，但應(yīng)用層的DDOS又是甚至比網(wǎng)絡(luò)層的DDOS更可怕，因?yàn)榻裉鞄缀跛�有的商業(yè)anti-DDOS設(shè)備，只在對抗網(wǎng)絡(luò)層DDOS時(shí)效果較好，而對應(yīng)用層DDOS攻擊卻缺乏有效的手段。