网站没挂，但比挂了更难受

摘要：**标题：** CC防护不是简单限个频：别让“慢刀子割肉”拖垮你的业务 **导语：** 网站没被流量冲垮，却越来越慢，最后直接“卡死”。后台一看，CPU和数据库连接全爆了，但带宽还闲着呢。这大概率就是CC攻击。很多人觉得CC防护就是配个限频规则，结果真被…

标题： CC防护不是简单限个频：别让“慢刀子割肉”拖垮你的业务

导语： 网站没被流量冲垮，却越来越慢，最后直接“卡死”。后台一看，CPU和数据库连接全爆了，但带宽还闲着呢。这大概率就是CC攻击。很多人觉得CC防护就是配个限频规则，结果真被打的时候，规则形同虚设，业务该崩还是崩。今天不聊那些虚的，就说说怎么防住这种“慢刀子割肉”的攻击，以及选防护方案时容易掉进去的坑。

网站没挂，但比挂了更难受

DDoS攻击像是洪水，目的是瞬间冲垮你的带宽防线。CC攻击则像“人海战术”，它模拟大量真实用户，不断地、高频地请求你网站上那些最消耗资源的页面——比如登录接口、搜索页、商品详情页，或者一个复杂的API。

你的服务器带宽可能还很充裕，但CPU、内存、数据库连接池、乃至后端应用的处理线程，会被这些“伪正常”请求一点点耗尽。结果就是，真正的用户访问时，页面加载极慢，或者直接超时、报错。这种体验，比直接打挂更糟心，用户会以为是你的服务器太烂，而不是被攻击了。

别把CC防护想得太简单

很多人第一步就错了，以为在Nginx或者云WAF里设个“每分钟最多请求100次”就万事大吉。攻击者早就不是单IP蛮干了。

现在常见的玩法是：

1. 海量代理IP池： 从全球各地拨号网络、云主机、甚至被入侵的物联网设备发起请求，每个IP的请求频率都很低，完全在你的“合理”限频范围内。但十万个IP一起慢悠悠地请求，你的服务器照样扛不住。
2. 低速率慢速攻击： 每个连接建立后，以极慢的速度发送数据包或保持连接，不触发你的频率阈值，但能长时间占用你的服务器连接资源。
3. 精准攻击动态接口： 不攻击首页，专打你的登录/api/login、验证码/api/captcha、支付回调/api/notify。这些接口往往涉及数据库查询、第三方服务调用，消耗巨大。

面对这些，简单的IP限频就是一张破网。

真有用的CC防护，看这几层

有效的CC防护，得像一个漏斗，一层层把“坏水”滤掉，让“好水”流过去。

1. 第一层：人机验证（挑战）

   • 做什么： 在疑似恶意请求出现时，弹出验证码（如滑动拼图、点选图中文字），或者进行无感验证（比如JavaScript挑战）。
   • 关键点： 别一上来就全局弹验证码，那会误伤真实用户。好的策略是基于IP信誉、行为指纹（鼠标移动轨迹、点击习惯）、请求特征（Header异常、无Referer）进行智能触发。对于API攻击，可以考虑要求携带合法的Token签名。

2. 第二层：智能频率与行为分析

   • 做什么： 这不再是简单的“单IP限频”。要看会话频率（一个登录会话期内提交了多少次）、全局频率（针对某个URL，所有IP加起来的请求总量是否异常）、业务逻辑频率（比如同一个手机号1分钟内尝试登录50次，明显不合理）。
   • 关键点： 规则要能关联业务。比如，对搜索接口，可以容忍较高频率；对登录接口，就必须严格。这需要防护系统支持自定义规则，并且能和学习到的正常业务基线做对比。

3. 第三层：IP信誉库与动态封禁

   • 做什么： 对接云端或本地的IP威胁情报库。如果一个IP在过去24小时内被标记为代理、僵尸网络或扫描器，可以直接给它更高的风险权重，甚至直接拦截。
   • 关键点： 封禁不是永久的。对于被临时利用的IP，可以设置动态封禁时间（如5分钟、1小时），并观察解封后的行为。同时，要有IP白名单机制，防止把自家爬虫或合作伙伴的IP给误杀了。

4. 第四层：源站保护与资源隔离

   • 做什么： 绝对不要让任何未经清洗的流量直接回源到你的真实服务器。一定要通过高防IP、高防CDN或者云WAF来接入，把清洗能力放在最前面。
   • 关键点： 很多中小站长的误区是“用了CDN就安全了”。普通CDN只有加速和缓存功能，没有精细的CC防护能力。你得用带安全能力的“高防CDN”或“云WAF”，并且确保DNS解析只指向它们的防护节点，实现真正的源站隐藏。

选CC防护方案，别光看“峰值”

采购时，别只盯着“300G防护”、“500G防护”这种DDoS流量清洗的数字。对于CC防护，要问清楚这些：

• 规则引擎是否灵活： 能不能基于URL、参数、Cookie、Header自定义复杂的匹配规则？能不能设置多条件组合（比如“来自高危地区IP+请求登录接口+频率超过阈值”）？
• 人机验证方式有哪些： 支持几种验证码？有无感验证吗？触发策略能不能自定义？
• IP信誉库更新频率： 是自建的还是接的第三方？多久更新一次？
• 报表和分析能力： 攻击来了，能不能快速定位到是哪些URL被重点攻击，攻击源主要分布在哪里？报表能不能帮你快速调整策略？
• 误杀处理流程： 万一误封了真实用户，有没有便捷的渠道（比如客服、工单）快速解封？有没有实时日志可以查询拦截原因？

有些低价防护方案，CC防护就是个摆设，规则简陋，IP库陈旧，真遇到高级点的CC攻击，一点用都没有。这就好比买了扇防盗门，结果锁芯是塑料的。

最后说点实在的

CC防护是个持续对抗的过程。没有一劳永逸的配置。攻击者会变，你的业务也在变。

所以，定期看看防护日志，哪怕没有告警。看看哪些规则命中了，有没有误拦截。在业务上线新功能，特别是重要接口时，提前想好防护策略。大促或游戏开服前，做一次压力测试，顺便验证一下防护规则是否生效。

别等到业务已经被拖得半死不活了，才手忙脚乱地去加规则。那时候，用户已经跑光了。防护这东西，平时感觉不到它的存在，才是它最大的价值。