Web 應用防護系統 OpenWAF 開源 CC 防護子產品

openwaf自從去年10月開源，半年來已經陸陸續續開源了各大子產品，受到了多方的大量關注。最近更是剛剛開源了大家都很期待的cc子產品！

什麼是cc？openwaf的cc防護又能做些什麼？下面我們就會為您詳細介紹。

什麼是cc?

舉個例子，城東新開了一家牛肉面館，生意紅火，顧客絡繹不絕。某天，一個地方惡霸召集了手下一批小弟，一窩蜂湧入牛肉面館，霸占了所有座位，隻聊天不點菜，導緻真正的顧客無法進店消費。由此，牛肉面館的生意受到影響，損失慘重。

如果把這家牛肉面館看作是一家網際網路企業，那麼這群地痞的惡行，就是典型的分布式拒絕服務，也就是我們所說的ddos攻擊。

cc攻擊是ddos（分布式拒絕服務）的一種，相比其它的ddos攻擊cc似乎更有技術含量一些。攻擊者借助代理伺服器生成指向受害主機的合法請求，實作ddos,和僞裝就叫：cc(challengecollapsar)。

這種攻擊你見不到真實源ip，見不到特别大的異常流量，卻會造成伺服器無法進行正常連接配接。諸如電商和遊戲營運商都是cc攻擊的常見受害者。

cc攻擊的原理

傳統cc攻擊的原理就是攻擊者控制某些主機不停地發大量資料包給對方伺服器造成伺服器資源耗盡，一直到當機崩潰。cc主要是用來攻擊頁面的，每個人都有這樣的體驗：當一個網頁通路的人數特别多的時候，打開網頁就慢了，cc就是模拟多個使用者（多少線程就是多少使用者）不停地進行通路那些需要大量資料操作（就是需要大量cpu時間）的頁面，造成伺服器資源的浪費，cpu長時間處于100%，永遠都有處理不完的連接配接直至就網絡擁塞，正常的通路被中止。

openwaf的防cc攻擊

傳統的cc防護，會時刻判斷是否達到cc清洗門檻值，找到攻擊源進行攔截，往往效率很低而且誤報率高。

openwaf的cc防護分為流量監控和流量清洗兩個階段。在流量監控階段時，未達到伺服器性能瓶頸前，不需記錄各ip的詳細資訊。也就是堵車了才進行限速，不堵車你想開多快開多快。這樣即節約資源，又有效的提升了引擎性能。當流量達到設定的觸發門檻值，才真正進入流量清洗階段，時刻記錄分析ip及路徑流量，進行“限速”。

當流量達到清洗門檻值，傳統的cc防護僅支援阻斷請求，"誤殺"機率高，使用者體驗差。而openwaf提供了豐富的攔截動作，不僅支援阻斷，還提供連接配接重置，人機識别（js代碼驗證或驗證碼驗證，此功能4月份開源）。就好像遇到了事故，我們不是直接吊銷駕照，而是進行責任判斷，進而有效提升了使用者體驗度，減少了誤報。

openwaf的流量監控目前支援監控每秒請求流量及每秒請求數，流量清洗階段目前支援ip級每秒建立連接配接數、ip級連接配接總數、ip級每秒請求數及路徑級每秒請求數。再配合openwaf的安全政策，可以進行站點級、路徑級、ip級的多重配置，有效進行多重防護，讓你可以輕松自定義你想要的“交通限速規則”。

我們始終堅信“愈分享，愈安全”，希望有更多人能夠嘗試openwaf，并加入防護web安全的隊伍，并給我們提出您的寶貴意見。