大公司就不說了，付費CDN，防火墻，大流量，一般也會配置專門的安全問題響應團隊。今天天下數(shù)據(jù)小編側(cè)重討論一下中小型網(wǎng)站如何（優(yōu)雅）防范CC攻擊。

先說說一般的中小站點安全問題通�。簩Π踩珕栴}不重視，不少iptables都是默認的，主要目標是網(wǎng)站能正常工作，當然也無專門的安全運維人員。（歡迎補充）

然后拋磚引玉，說下前段時間幫朋友網(wǎng)站應對CC攻擊時的一些措施，希望各位頭腦風暴，看下還有沒有更好的應對方案。

在下面方面有難題或還未解決的可以試試軟件防火墻市面上有類似產(chǎn)品，我測試過，效果不錯！

1.封IP。IP寫到防火墻黑名單。

分析訪問日志，封異常IP。

個人評價：不優(yōu)雅，被動，但簡單粗暴有一定效果。不過一般現(xiàn)在攻擊方都是拉一堆肉雞和IP池做代理，而且動態(tài)IP也是變動的，流量特別大的幾個IP封了還好說，所有攻擊IP都封掉不現(xiàn)實。而且解封也有點麻煩，需要自己寫腳本處理。

2.服務器限流。

（比如使用nginx做反向代理，可以增加設置限流）

limit_conn_zone

limit_req_zone

個人評價：有用，相對優(yōu)雅，nginx的漏桶算法還是不錯的。但是還是容易誤殺，需要對網(wǎng)站性能有充分理解再來設置。

3.根據(jù)請求特征拒絕訪問。

比如User-Agent或者是refer，里面會有一些固定信息，可以作為nginx攔截的依據(jù)。作為被動防御還是挺有用的，攔截到疑似請求后nginx直接返回403。

個人評價：基本必備，不過限制UA的時候用得多些，反爬蟲比別。當然，現(xiàn)在已經(jīng)有很多開源變化UA的方法了。對于refer特征一致的請求攔截效果意外的好。

4.請求跳轉(zhuǎn)（轉(zhuǎn)給攻擊方）

就是nginx根據(jù)請求特征重定向到其它頁面。建議別順手寫baidu.com，萬一被百度判罰了就麻煩了�？梢栽O置成攻擊你的來源，給他打回去。

個人評價：也算優(yōu)雅，就是返回去的請求并不一定能給攻擊方造成壓力，不過個人覺得這樣的處理壓力應該會比直接返回403、404來得大。

5.用CDN帶的CC防御功能

個人評價：沒用過，不評價。歡迎有用過的朋友反饋下效果。

6.提高網(wǎng)站性能

個人評價：如果是在限流情況下還能被CC攻擊搞崩的網(wǎng)站，的確也需要性能自測一波，優(yōu)化下代碼了。

天下數(shù)據(jù)提供美國高防服務器、香港高防服務器、韓國高防服務器、佛山高防服務器等；高防機房很好的解決各種CC、流量等DDOS攻擊，另外還是DDOS高防IP為您的業(yè)務保駕護航。詳詢在線客服！

本文鏈接：http://m.51huadong.com/cloundnews/11003134.html