DDoS和cc攻击原理和常见防御方式（示例）

由 linghuchong@admin

30 1 月, 2025

主机资讯

被攻击是一件好事，也是一件坏事，

好事就是说明网站流量大，才会被某些人惦记上，本站长互联网经验10几年了，遇到此类情况乃是家常便饭。每天都好几台服务器被攻击，都是用的多轮播技术加低配版的防御。也就是一台机器被打死直接切换到另外一台上面，著名的中国企业，比如说支付宝用的都是此类技术，他们每时每刻都在遭遇上亿次攻击。

一，DDoS 和 CC 攻击原理

1. DDoS（Distributed Denial of Service）攻击原理

DDoS 攻击是一种分布式拒绝服务攻击，攻击者通过控制大量的傀儡机（僵尸网络）向目标服务器发送海量的请求，使目标服务器资源耗尽（如带宽、CPU、内存等），无法正常处理合法用户的请求，从而导致服务中断。常见的 DDoS 攻击类型包括 UDP 洪水攻击、TCP SYN 洪水攻击等。

01，DDoS攻击的早期阶段

最初的DDoS攻击主要依赖于简单的“Ping of Death”（死信号）攻击，攻击者发送大量异常的Ping请求，使得目标主机或网络无法处理这些请求。随着网络带宽的提升，这类攻击逐渐被更为复杂的攻击方式所取代。

02，现代DDoS攻击的复杂性

现代DDoS攻击不仅仅局限于普通的流量攻击，攻击者可以利用云计算、大数据等技术，构建大规模的僵尸网络来发起攻击。某些攻击者甚至会使用Botnet（机器人网络）租赁服务，通过按小时计费的方式发动巨大的攻击。

03，攻击规模与攻击目标的变化

DDoS攻击的规模逐渐变得庞大，一些攻击的流量可达到数百Gbps。攻击的目标也不仅仅局限于政府、金融等传统高价值目标，越来越多的企业、网站和个人都成为攻击的对象。此外，近年来应用层攻击（如HTTP Flood）成为攻击者的新宠，其能有效绕过传统的网络防护措施。

2. CC（Challenge Collapsar）攻击原理

CC 攻击是一种应用层的 DDoS 攻击，主要针对网站的应用程序进行攻击。攻击者通过控制大量的客户端，模拟正常用户向目标网站发送大量的 HTTP 请求，耗尽服务器的应用程序资源（如 Web 服务器线程、数据库连接等），使网站无法响应正常用户的请求。

二，常见防御方式

1，基础防御措施

使用高防服务器（例如香港高防 BGP 线路）
配置 CDN 进行流量清洗（如 Cloudflare，专业高防CDN）
限制单 IP 访问频率（使用 Nginx 速率限制）
采用 Web 应用防火墙（WAF）

2. DDoS 防御方式

流量清洗：将网络流量引入到专业的清洗设备或服务提供商，通过分析流量特征，识别并过滤掉攻击流量，只将合法流量转发给目标服务器。
限速：对进入服务器的流量进行限速，防止大量的攻击流量涌入导致服务器资源耗尽。
防火墙策略：配置防火墙规则，限制特定 IP 地址或 IP 段的访问，过滤掉异常的流量。

3. CC 防御方式

验证码：在网站的登录、提交表单等关键页面添加验证码，要求用户输入验证码才能继续访问，从而区分正常用户和自动化攻击程序。
会话管理：对用户的会话进行管理，限制同一 IP 地址在短时间内的请求次数，防止恶意用户频繁发送请求。
负载均衡：使用负载均衡器将用户请求均匀地分配到多个服务器上，减轻单个服务器的压力。

三，代码示例（Python 模拟简单的 CC 攻击防御）

以下是一个简单的 Python 代码示例，用于模拟 CC 攻击防御，通过限制同一 IP 地址在短时间内的请求次数来防止恶意请求。

python

import time
# 存储每个IP地址的请求时间和请求次数
ip_requests = {}
# 允许的最大请求次数
MAX_REQUESTS = 10
# 时间窗口（秒）
TIME_WINDOW = 60
def is_allowed(ip):
    current_time = time.time()
    if ip in ip_requests:
        requests, last_time = ip_requests[ip]
        # 检查是否在时间窗口内
        if current_time - last_time < TIME_WINDOW:
            if requests >= MAX_REQUESTS:
                return False
            else:
                ip_requests[ip] = (requests + 1, current_time)
        else:
            # 时间窗口已过，重置请求次数
            ip_requests[ip] = (1, current_time)
    else:
        # 新的IP地址，记录请求时间和次数
        ip_requests[ip] = (1, current_time)
    return True

# 模拟处理请求
def handle_request(ip):
    if is_allowed(ip):
        print(f"允许来自 {ip} 的请求")
    else:
        print(f"拒绝来自 {ip} 的请求，可能是CC攻击")

# 模拟多个请求
ips = ["192.168.1.1", "192.168.1.1", "192.168.1.1", "192.168.1.2"]
for ip in ips:
    handle_request(ip)

注意事项

以上代码只是一个简单的示例，实际的 DDoS 和 CC 攻击防御需要更复杂的技术和设备。

四，简单模拟 DDoS 攻击防御代码（基于端口限速）

DDoS 攻击常通过大量数据包消耗服务器带宽和资源，以下代码模拟基于端口的限速机制来抵御 DDoS 攻击。

import time

# 存储每个端口的流量统计和时间
port_traffic = {}
# 允许的最大流量（字节/秒）
MAX_TRAFFIC = 1024 * 1024  # 1MB/s
# 时间窗口（秒）
TIME_WINDOW = 1

def is_port_allowed(port, traffic):
    current_time = time.time()
    if port in port_traffic:
        prev_traffic, last_time = port_traffic[port]
        # 检查是否在时间窗口内
        if current_time - last_time < TIME_WINDOW:
            new_traffic = prev_traffic + traffic
            if new_traffic >= MAX_TRAFFIC:
                return False
            else:
                port_traffic[port] = (new_traffic, current_time)
        else:
            # 时间窗口已过，重置流量统计
            port_traffic[port] = (traffic, current_time)
    else:
        # 新的端口，记录流量和时间
        port_traffic[port] = (traffic, current_time)
    return True

# 模拟处理网络数据包
def handle_packet(port, packet_size):
    if is_port_allowed(port, packet_size):
        print(f"允许端口 {port} 的数据包，大小: {packet_size} 字节")
    else:
        print(f"拒绝端口 {port} 的数据包，可能是 DDoS 攻击")

# 模拟多个数据包
packets = [(80, 1024), (80, 2048), (443, 512)]
for port, size in packets:
    handle_packet(port, size)

五. 结合 Redis 实现分布式防御

在实际场景中，为了应对大规模的流量和多服务器环境，可使用 Redis 存储 IP 或端口的状态信息，实现分布式的攻击防御。

python

import time
import redis

# 连接 Redis
r = redis.Redis(host='localhost', port=6379, db=0)

# 允许的最大请求次数
MAX_REQUESTS = 10
# 时间窗口（秒）
TIME_WINDOW = 60

def is_allowed_redis(ip):
    current_time = int(time.time())
    key = f"cc:{ip}"
    pipe = r.pipeline()
    pipe.zremrangebyscore(key, 0, current_time - TIME_WINDOW)
    pipe.zadd(key, {current_time: current_time})
    pipe.zcard(key)
    _, _, requests = pipe.execute()
    if requests > MAX_REQUESTS:
        return False
    return True

# 模拟处理请求
def handle_request_redis(ip):
    if is_allowed_redis(ip):
        print(f"允许来自 {ip} 的请求")
    else:
        print(f"拒绝来自 {ip} 的请求，可能是 CC 攻击")

# 模拟多个请求
ips = ["192.168.1.1", "192.168.1.1", "192.168.1.1", "192.168.1.2"]
for ip in ips:
    handle_request_redis(ip)

这些代码示例只是防御机制的基础实现，实际的 DDoS 和 CC 攻击防御需要结合专业的硬件设备、云服务和更复杂的算法来确保系统的安全性和稳定性。

发表回复取消回复

付款方式

公司

服务与解决方案

联系我们

加入我们的新闻通讯

Social Media