摘要：# CC攻击来了，别只盯着IP！这层防护你开了吗？ 上周跟一个做电商的朋友喝酒，他愁眉苦脸地跟我吐槽：“你说我这高防CDN也上了，WAF规则也配了，钱没少花，怎么一到促销季后台还是卡得像PPT？攻击日志里一堆IP，封都封不完。” 我问他：“你封IP的时…

CC攻击来了，别只盯着IP！这层防护你开了吗？

上周跟一个做电商的朋友喝酒，他愁眉苦脸地跟我吐槽：“你说我这高防CDN也上了，WAF规则也配了，钱没少花，怎么一到促销季后台还是卡得像PPT？攻击日志里一堆IP，封都封不完。”

我问他：“你封IP的时候，是不是只看了单个IP的请求频率？”

他点头：“对啊，不然看啥？”

我跟他碰了下杯：“问题就出在这儿。现在的CC攻击，早就不玩‘一个IP往死里打’这种低级套路了。”

这感觉你懂吧？就像防盗门装了三道锁，结果贼从你没关的窗户溜进来了。很多中小企业的安全防护，在“频率控制”这一环上，认知还停留在“IP限速”的初级阶段，这就给了攻击者巨大的操作空间。

为什么只封IP，等于在“裸奔”？

咱们先说个大实话：基于IP的频率控制，在现在这个环境下，防御效果已经大打折扣了。

为什么？攻击者的手段“进化”了。

1. 代理池和海量IP：公开的、付费的代理IP池太容易获取了。攻击者可以轻松调度成千上万个真实、干净的住宅IP发起请求，每个IP的访问频率看起来都“人畜无害”，完全在你的阈值之下。但汇聚到你服务器上的总流量，却能瞬间挤爆带宽和CPU。
2. “慢速攻击”兴起：人家不跟你拼速度了。每个IP就慢悠悠地跟你建立连接，保持住，不释放。一个IP占你一个连接，一万个IP就能占你一万个连接。你的服务器连接池很快被占满，真正的用户连都连不上。这种攻击，看单IP频率根本看不出来异常。
3. 移动网络动态IP：很多正常用户本身用的就是运营商分配的动态IP，可能一个基站下大量用户共享一个出口IP。你一刀切地限制某个IP的频率，可能误伤一大片正常用户，投诉电话能把你打爆。

所以，光看IP，就像只通过车牌查超速——人家要是频繁换车呢？或者一车人轮流开呢？

立体防护三层网：IP、Session、设备指纹

真正的频率控制，得织一张立体的网。我把它拆成三层，你对照看看自己的防护策略到第几层了。

第一层：IP层（基础，但必须灵活）

这层不能丢，但策略得变聪明。

• 别只设一个全局阈值：对登录页、验证码接口、搜索接口、下单接口，应该设置不同的频率阈值。登录失败每分钟5次可能算攻击，但搜索接口每分钟30次可能也正常。
• 引入IP信誉库：别自己硬扛。接入一些云端IP威胁情报，如果一个IP刚在别的站点干过坏事，那它一来你就可以给它更严格的限制，甚至直接验证码挑战。
• 区分IP类型：对数据中心IDC的IP（大概率是代理或服务器）可以更严格；对普通家庭宽带和移动网络IP，策略要宽松些，配合其他层来判断。

第二层：Session层（揪出“套娃”攻击者）

Session（会话）是用户从访问到离开的一个逻辑过程。攻击者即使换IP，在短时间内也很难频繁更换有效的Session。

• 核心逻辑：限制同一个Session在单位时间内对关键操作（如登录、提交订单、领取优惠券）的尝试次数。比如，一个Session在5分钟内，密码错误不能超过3次。
• 这里的坑：很多站点Session生成机制有漏洞。比如，没登录的用户每次访问都生成一个新Session，那这层防护就形同虚设。Session ID必须足够随机且不易被枚举，同时要考虑在用户登录后，前后Session的关联性。
• 一个实用技巧：对于像“秒杀”“抢券”这类场景，可以在用户进入页面时，就在其Session中埋入一个一次性令牌。提交请求时必须携带，用完即废。这样能有效防止脚本绕过页面逻辑直接刷接口。

第三层：设备指纹层（终极“认人”手段）

这是目前对抗高级CC攻击最有效的一层，也是很多朋友忽略的一层。说白了，就是识别“设备”而不是“地址”。

攻击者可以换IP，可以清Cookie换Session，但想彻底伪装成一台全新的设备，成本就高多了。

• 设备指纹是什么？它通过收集浏览器或APP的一系列参数（如User-Agent、屏幕分辨率、时区、安装的字体列表、Canvas图像渲染特征、WebGL指纹等），经过哈希算法，生成一个唯一性很高的字符串，来标识一个设备。
• 它怎么用于频率控制？假设你检测到，在1分钟内，有50个不同的IP、50个不同的Session，但都来自同一个设备指纹，在访问同一个查询库存的接口。这意味着什么？几乎可以100%断定这是恶意脚本行为，可以直接拦截或弹出高难度验证码。
• 优势：对抗代理IP池、对抗简单清除Cookie的脚本，效果极佳。攻击者想伪造设备指纹，需要模拟完整的浏览器环境，其资源消耗和复杂程度是指数级上升的。

三层联动，实战怎么配？

理论说完，来点实在的。以一个电商网站的登录接口为例，一个立体防护策略可能是这样的：

1. IP层：任何IP，每分钟登录尝试超过20次，触发警报，后续请求延迟响应。
2. Session层：同一个Session（无论IP是否变化），5分钟内密码错误超过5次，锁定该Session 15分钟，期间所有登录尝试直接返回错误。
3. 设备指纹层：同一个设备指纹，1小时内关联的失败登录尝试超过10次（可能分散在多个IP和Session中），将该设备指纹标记为“高风险”。此后24小时内，来自该设备的所有关键业务请求（登录、注册、下单），强制要求进行滑块或点选验证码。

看到了吗？三层不是孤立的。 IP层拦低端脚本，Session层防中级攻击，设备指纹层死磕专业团伙。三层数据可以互相印证，让误杀率降到最低，把攻击者逼到成本难以承受的角落。

几句掏心窝的提醒

• 别指望一招鲜：安全没有银弹。立体频率控制是核心，但还得跟WAF的规则（防SQL注入、防扫描）、业务逻辑风控（比如检测异常下单模式）、以及足够弹性的服务器资源结合起来。
• 用户体验是平衡木：别为了绝对安全，把正常用户也搞得寸步难行。验证码是最后的手段，不是首选。通过多层渐进式挑战（比如先延迟响应，再弹简单验证码，最后才上高难度验证），让好人无感，让坏人抓狂。
• 数据要能看明白：你的防护系统得给你清晰的报表。今天拦截了多少次攻击？IP层、Session层、设备指纹层各贡献了多少？主要攻击特征是什么？这些数据是你调整策略、向上汇报价值的最好依据。不然你就是个黑盒，出了事都说不清。

说到底，CC攻防是一场成本与资源的对抗。你的目标不是造一个绝对打不穿的墙（那不存在），而是通过技术手段，把攻击者的成本拉高到他的收益之上，让他觉得“打你这站，不值当”。

行了，话说到这儿。回去赶紧检查一下你的防护策略，如果还只停留在封IP，真的，该动动了。你的源站是不是在“裸奔”，你心里其实已经有答案了。