CC防护的策略有哪几种？

Posted 2023-04-27

CC防护的策略有哪几种？

CC攻击种类：

1、直接攻击：主要针对有重要缺陷的Web应用程序，一般来说是程序写的有问题的时候才会出现这种情况，比较少见。

2、肉鸡攻击：黑客使用CC攻击软件，控制大量肉鸡发动攻击，相比代理攻击更难防御，因为肉鸡可以模拟正常用户访问网站的请求，伪造成合法数据包。

3、僵尸网络攻击：有点类似于DDoS攻击，从Web应用程序层面上已经无法防御。

4、代理攻击：代理攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现Dos和伪装。

CC攻击防御措施：

1、取消域名绑定

一般CC攻击都是针对网站的域名进行攻击，比如我们网站域名为：www.oldboyedu.com，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。对于这样的攻击我们的措施是取消这个域名的绑定，让CC攻击失去目标。

2、屏蔽IP

我们通过命令或在查看日志发现了CC攻击的源ip，就可以在防火墙中设置屏蔽该IP对web站点的访问，从而达到防范攻击的目的。

3、更改Web端口

一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。

4、域名欺骗解析

如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样再多的肉鸡或者代理也会宕机。

5、部署高防CDN防御

高防CDN可以自动识别恶意攻击流量，对这些虚假流量进行智能清洗，将正常访客流量回源到源服务器IP上，保障源服务器的正常稳定运行。

参考技术A 一、取消域名绑定
一般CC攻击都是针对网站的域名进行攻击，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。对于这样的攻击我们的措施是取消这个域名的绑定，让CC攻击失去目标。

二、屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP，就可以在防火墙中设置屏蔽该IP对Web站点的访问，从而达到防范攻击的目的

三、更改Web端口
一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。

四、域名欺骗解析
如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，

如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样再多的肉鸡或者代理也会宕机。

五、部署云都网络高防CDN防御
高防CDN可以自动识别恶意攻击流量，对这些虚假流量进行智能清洗，将正常访客流量回源到源服务器IP上，保障源服务器的正常稳定运行。本回答被提问者采纳 参考技术B

CC攻击的防御手段

1.提高服务器性能

CC攻击是以消耗服务器资源为主，那么高性能服务器硬件能力和充足的网络带宽资源可以提升系统对CC攻击的承载能力，不过提升服务器性能的成本要远比CC攻击成本高，所以谨慎使用。

2.网页静态化

纯静态的网页请求可以减少对服务器资源的消耗，提高服务器并发能力，从而让网站具有一定的抗CC能力。

3.使用负载均衡

现在很多云服务器商都提供负载均衡器，负载均衡器通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，消除单点故障并提升应用系统的可用性，可以解决一些中小型CC攻击，但其实这跟提高服务器性能一样，成本相当高，跟CC攻击比起来，差太远。

4.限制非法请求IP

一些简单的CC攻击其IP是非常少的，可以通过防火墙对CC攻击的IP进行屏蔽访问。这方法只适用于攻击方代理IP少的情况下有效。

5.限制浏览器UA

UA是识别浏览器的重要证明，一些CC工具的访问UA都是一样的，我们只要利用防火墙把对方的UA禁止访问，就可以达到防御作用。

6.限制IP请求频率

CC攻击为了达到消耗服务器的作用，每个IP都会对服务器进行频繁的访问，通过防火墙限制每个IP 10秒钟内可以访问多少次，超过会被暂时拦截，可有效防御CC攻击。

7.JS挑战

这是一种安全防御商常用的防御CC攻击的手段，通过对每个访问网站的访客进行JS质询，合法用户正常跳转，非法用户进行拦截。

8.CDN内容分发

CDN类似于负载均衡器， 不同的是CDN对源服务器配置要求高，普通CDN想要防御CC攻击，需要把网站内容全部缓存至CDN节点，让CC攻击尽可能少的请求进服务器，从而达到防御CC攻击的作用，不过CC攻击会产生大量的流量，如果你的CDN是按量计费的，那么请谨慎使用，一不小心就会产生大量的费用，造成严重经济损失。

9.推荐防御产品

目前市面上很多防御CC攻击的产品，不过很多效果并不理想，而且误杀几率很高，主机吧这里推荐百度云加速和京东云星盾，这两个都是高防CDN，而且都是大厂产品，主机吧代理百度云加速超过5年，百度云加速防御效果杠杠的，市面上几乎99.9%的CC攻击都是可以防御，而且误杀极低，推荐大家使用。相关链接

操作系统中进程调度策略有哪几种？

FCFS(先来先服务)，优先级，时间片轮转，多级反馈-调度算法。

　　先来先服务调度算法：是一种最简单的调度算法，每次调度是从进程队列中选择一个最先进入该队列的进程，为之分配资源投入运行。该进程一直运行完成或发生某事件而阻塞后才继续处理后面的进程。

　　优先级调度算法：有短进程优先级、高优先权优先级、高响应比优先级等，按照优先级来执行就绪进程队列中的调度。  （高响应比：（等待时间+服务运行时间）/服务运行时间）

　　时间片轮转调度算法：系统还是按照先来先服务调度就绪进程，但每次调度时，CPU都会为队首进程分配并执行一个时间片（几ms~百ms）。执行时间片用完后计时器即产生时钟中断，停止该进程并将它送到队尾，其他依次执行。这样保证系统能在给定的时间内执行所有用户进程的请求。

　　多级反馈调度算法：前面都有局限性，综合-> 多级反馈调度算法则不必事先知道各进程所需的执行时间，而且还可以满足各类型进程的需要，因而它是目前被公认的一种较好的进程调度算法。

（1）设置多个就绪队列，每个队列优先级依次减小。为各个队列分配的时间片大小不同，优先级队列越高，里面进程规定的执行时间片就越小。

（2）队列中还是按照FCFS原则排队等待，如果第一队列队首进程在规定的时间片内未执行完，则直接调送至第二队尾，依次向后放一个队列的队尾。因此一个长作业进程会分配到n个队列的时间片执行。

（3）按照队列先后依次执行，如果新进的待处理进程优先级较高，则新进程将抢占正在运行的进程，被抢占的进程放置正在运行的队尾。

 

1.抢占式内核与非抢占式内核

　　1.1.UNIX采用抢占式内核，Windows、Linux采用多任务非抢占式内核。

抢占式：  内核空间中，有一个更高优先级的任务出现时，则可以将当前任务挂起，执行优先级更高的进程。

非抢占式：高优先级的进程不能中止正在内核中运行的低优先级的进程而抢占CPU运行。 则除非进程自愿放弃CPU，否则该进程将一直运行下去，直至完成或退出内核。

多任务系统中, 内核负责管理各个任务, 或者说为每个任务分配CPU时间, 并且负责任务之间的通讯。

　　1. 2.Linux下CPU抢占分两种情况：

1）用户抢占（发生时机：从系统调用返回用户空间、从中断(异常)处理程序返回用户空间时）；

2）内核抢占（是指在内核中运行的进程, 可能在执行内核函数期间被另一个进程取代。发生时机：如果内核中的任务堵塞，任务主动放弃CPU使用权时）

　　1.3.需要内核抢占的原因：

当内核处于相对耗时的操作中, 比如文件系统或者内存管理相关的任务,而其他进程无法执行, 无法调度, 这就造成了系统的延迟增加, 用户体验到”缓慢”的响应. 

2.优先级翻转问题：

　　高优先级任务要访问共享资源，而此时低优先级任务正在占用，此时中等优先级任务到来先执行完毕后，低优先级任务释放资源高优先级任务才得以执行，这就发生了优先级翻转问题。

解决方式：优先级天花板，优先级继承

优先级天花板：

　　当任务申请某资源时就将当前任务的优先级提高到可访问该资源任务的最高优先级。

优先级继承：

　　当任务申请某资源时，此资源已被占用，那么判断当前任务是否比占用资源的任务优先级高，若高，则将占用资源任务的优先级提高到当前任务的优先级，等释放资源后再恢复其本身的优先级。