摘要：# CDN扛不住CC攻击？别急着调高防，试试从缓存策略下手 那天半夜，我接到一个朋友的电话，声音里全是急：“网站崩了，后台登录页面直接卡死，用户都在骂。” 我一查流量，典型的CC攻击——成千上万的请求，精准地冲着几个动态接口和登录页就来了。他用的CDN服…

CDN扛不住CC攻击？别急着调高防，试试从缓存策略下手

那天半夜，我接到一个朋友的电话，声音里全是急：“网站崩了，后台登录页面直接卡死，用户都在骂。” 我一查流量，典型的CC攻击——成千上万的请求，精准地冲着几个动态接口和登录页就来了。他用的CDN服务商倒是挺有名，但默认配置下，边缘节点对那些需要回源的动态请求几乎毫无招架之力，流量像洪水一样直接冲垮了源站。

这场景你应该不陌生吧？很多团队一遇到CC攻击，第一反应就是“上高防”、“买清洗”。不是说这没用，但成本高不说，有时候真有点杀鸡用牛刀。其实，很多看似凶猛的CC攻击，问题根源出在CDN的缓存策略没配好。边缘节点如果能把该拦的拦、该缓的缓，源站压力能减轻一大半。

今天咱就抛开那些“全站加速”、“智能防护”的漂亮话，聊聊怎么从CDN边缘节点的缓存策略这个实操角度，真正优化对CC攻击的防御。

一、CC攻击为啥爱盯着你的动态请求？

说白了，攻击者不傻。他们知道，像图片、CSS这些静态文件，CDN默认就缓存得好好的，打过去意义不大。真正的软肋，是那些每次都需要回源站查询数据库、执行程序才能返回结果的动态请求。

比如：

• www.yoursite.com/login.php (登录验证)
• www.yoursite.com/api/getUserInfo (用户信息接口)
• www.yoursite.com/search?keyword=xxx (搜索页面)

这些页面内容因人而异，或者实时变化，CDN为了保持内容新鲜，通常设置很短的缓存时间（TTL），甚至直接“不缓存”。攻击者就伪造大量请求，疯狂访问这些链接。每个请求，CDN节点都得回源站问一次，源站的CPU、数据库连接池瞬间就被耗光了。

所以，优化的核心思路就一句话：让边缘节点在“该缓存”和“不该缓存”之间，做出更聪明、更有利于防御的决策。

二、四个实操优化策略，把攻击挡在边缘

策略1：给“看似动态”的页面，穿上缓存的马甲

这是最有效的一招。很多页面内容其实变化不频繁，但因为是.php、.asp或者带?参数的URL，就被CDN默认当成动态请求处理了。

• 案例：你网站的公告页 (/notice.php)、公司介绍 (/about.php)，可能一天才改一次。完全可以在CDN控制台，针对这些具体的URL路径，强制设置一个较长的缓存时间，比如1小时甚至更长。
• 怎么操作：登录你的CDN服务商后台，找到“缓存配置”或“高级设置”。通常会有“文件类型”、“目录路径”、“全路径文件”等规则。为你确定的、内容相对静态的动态页面URL添加规则，设置一个合适的TTL（例如3600秒）。
• 大实话：很多站长压根没仔细看过CDN的缓存配置页，一直用的默认策略。攻击一来，可不就裸奔了？

策略2：巧用“边缘计算”或“自定义缓存键”，隔离恶意流量

这是高阶玩法，但非常管用。CC攻击的请求，往往在参数上带有随机值（比如?timestamp=1623...）或者来自大量不同的、伪造的IP。

• 核心思路：通过配置，让CDN节点忽略掉URL中某些不重要的查询参数（比如时间戳、随机数）再进行缓存判定。或者，针对像登录页这种关键入口，开启“人机验证”，但把验证逻辑放在CDN边缘节点执行（很多云厂商叫“边缘WAF”或“边缘程序”）。
• 举例：攻击者请求 search?keyword=手机&_=123456789， 你可以设置规则，让CDN只根据 search?keyword=手机 这个核心部分去查找缓存。这样，即使攻击者不断变换_后面的随机数，大量请求也能命中同一份缓存，而不会全部回源。
• 私货：这个功能不同厂商叫法不同（缓存键优化、查询字符串忽略、边缘函数），需要你翻翻文档或问客服。配置好了，对付带参数刷新的CC攻击有奇效。

策略3：设置“缓存回源合并”，别让节点当二传手

这个功能必须打开！它的作用是：当同一个资源在极短时间内有大量未命中的请求到达同一个CDN节点时，节点只向源站发起一次回源请求，其他请求排队等待这个结果，而不会各自都去轰击源站。

• 场景还原：假设攻击突然开始，每秒有1000个请求打向你的登录页，而该页面在CDN上未缓存。如果没有“回源合并”，这1000个请求会瞬间全部转发给源站。如果开启了，CDN节点可能只向源站要1次，拿到结果后分发给后面999个请求。
• 效果：这不能阻止攻击请求到达，但能把对源站的穿透力降低几个数量级，为你的源站争取宝贵的反应时间（比如触发告警、你手动开启更高强度的防护）。
• 提醒：这个功能一般默认开启，但最好检查一下。有的服务商允许你设置合并等待的时间窗口（比如100毫秒），可以根据业务敏感度调整。

策略4：动静分离要做彻底，别留漏洞

老生常谈，但很多人做得不到位。动静分离不仅仅是把图片放CDN，更要从URL设计上就清晰分开。

• 反面教材：www.site.com/content/123， 这个123是文章ID，但这个URL可能既输出文章正文（动态），也引用了文章里的图片（静态）。如果CDN只按.jpg缓存，对这个URL路径本身缓存策略暧昧，攻击者直接刷这个内容页，源站压力依然大。
• 正面做法：静态资源（图片、附件）使用独立的二级域名，如 static.site.com 或 img.site.com，并对整个域名设置全局的、长期的缓存策略。主域名只负责动态内容和API。这样，攻击者想打静态资源？随便打，CDN全扛着。想打动态内容？我们再用前面几招来对付。

三、优化后，别忘了验证和监控

配置改完了，别以为就万事大吉。你得验证效果，并建立监控。

1. 验证缓存命中率：在CDN控制台查看重点URL的缓存命中率。优化后，命中率应该有明显提升。你也可以用浏览器开发者工具，查看请求的X-Cache响应头，确认是 HIT（命中缓存）还是 MISS（回源）。
2. 监控源站负载：对比优化前后，源站服务器的CPU、内存、网络流入流量和连接数。一个明显的信号是：即使CDN入流量有波动，源站的流量和负载曲线应该变得平缓很多。
3. 设置告警：在CDN上设置“回源带宽”或“回源QPS”的告警阈值。当异常流量穿透缓存到达源站时，你能第一时间知道。

结尾：别把CDN只当加速器，它更是第一道闸门

我自己看过不少被CC打挂的案例，问题往往不是没上防护，而是把CDN仅仅当成了一个内容分发网络，忽略了它作为安全缓冲区的潜力。优化缓存策略，本质上是在调整这道闸门的“疏密”程度。

当然，我必须说句实话：缓存策略优化是“防君子，也防部分小人”的招式。它能极大缓解资源消耗型、针对动态页面的CC攻击，但面对那些模拟真实用户、低频但持续的高级攻击，或者专门攻击绝对不可缓存的API接口时，还是需要结合WAF的规则（如频率限制、人机识别）甚至高防服务来构建纵深防御。

但无论如何，在你准备掏钱升级高防套餐之前，请先花半小时，仔细捋一遍你的CDN缓存配置。这笔操作几乎零成本，但很可能给你带来意想不到的防护效果。你的源站，真的不必一直裸奔在互联网的洪流面前。

行了，方法就聊这些，赶紧去后台看看你的配置吧。