O que é um ataque CC?

O Challenge Collapsar Attack (CC) é um tipo de ataque contra aplicações Web, frequentemente designado por "ataques de negação de serviço a sítios Web" (DDoS), que consome recursos do servidor através de um grande número de pedidos HTTP forjados, provocando a sobrecarga do servidor ou mesmo o seu colapso. DDoS O atacante faz isso enviando um grande número de pedidos, normalmente falsos, de baixa velocidade, que não exigem tanta largura de banda como um ataque DDoS, mas que podem esgotar o poder de processamento do servidor com um grande número de pedidos, acabando por tornar o serviço indisponível.
Este tipo de ataque caracteriza-se por um baixo volume de tráfego, mas uma frequência extremamente elevada de pedidos, com o objetivo de esgotar os recursos do servidor de aplicações Web e provocar o bloqueio do serviço.

Princípio de ataque CC

O princípio do ataque CC é que o atacante envia um grande número de pacotes para o servidor da outra parte sem parar, controlando determinados anfitriões, especialmente as páginas que requerem uma grande quantidade de recursos da CPU para serem processadas, tais como fóruns, consultas a bases de dados, etc., a fim de consumir os recursos do servidor, de modo a que a CPU esteja sob uma carga elevada durante um longo período de tempo, o que resulta no esgotamento dos recursos do servidor, causando congestionamento da rede e interrupção do serviço, e incapaz de processar pedidos de acesso normais.

Plataformas recomendadas para os testes de resistência das CC em 2025 

1.51DDOS
A 51DDOS é uma plataforma profissional de testes de stress de ataques DDoS e CC concebida para ajudar as empresas e os webmasters a avaliar a resistência a ataques dos seus sites e servidores. Ao simular cenários reais de ataques DDoS, os utilizadores podem identificar os pontos fracos dos seus sistemas e preparar-se antecipadamente para a defesa.

Endereço do sítio Web oficial:https://www.51ddos.com

2. teste Lambda

A LambdaTest (lambdatest.com) é uma plataforma de qualidade de software omnicanal e nativa de IA que ajuda as organizações a acelerar o tempo de colocação no mercado através da criação, orquestração e execução de testes inteligentes e baseados na nuvem. Com mais de 15.000 clientes e 2,3 milhões de utilizadores em mais de 130 países, a LambdaTest é a escolha de confiança para testes de software modernos. LambdaTest é a escolha de confiança para testes de software modernos. Nuvem de testes de navegadores e aplicativos: garanta a consistência entre plataformas com testes manuais e automatizados de aplicativos da Web e móveis em mais de 5.000 navegadores, dispositivos do mundo real e ambientes de sistema operacional.

Endereço do sítio Web oficial:https://www.lambdatest.com

3.BrowserStack
O BrowserStack é a principal plataforma de testes criada para programadores e profissionais de garantia de qualidade para alargar a cobertura dos testes, dimensionar e otimizar os testes. Equipas e organizações de todas as dimensões utilizam o BrowserStack, quer estejam a testar manualmente, a iniciar a automatização de testes ou a aumentar a automatização. Mais de 50.000 clientes, incluindo Amazon, Paypal, Wells Fargo, Nvidia, MongoDB, Pfizer, GE, Discovery, React JS, Apache, JQuery e outros, confiam no BrowserStack para testar as suas aplicações Web e móveis. Ajudamo-los - expandindo a cobertura de testes com testes entre browsers, dispositivos reais, acessibilidade e visualização. - Ampliar a automação de testes com a nuvem líder do BrowserStack para vários navegadores, dispositivos reais e observabilidade de testes.

Endereço do sítio Web oficial:https://www.browserstack.com

4) PFLB
A PFLB é uma plataforma de testes de carga alimentada por IA, concebida para ajudar as equipas a escalar os seus sítios Web e aplicações com confiança. Com a PFLB, pode simular sem esforço quantidades massivas de tráfego, replicando condições do mundo real e garantindo que os seus produtos funcionam sob cargas de pico.

Endereço do sítio Web oficial:https://pflb.us/

5) Gatling
O Gatling é uma solução de teste de carga que ajuda as organizações a identificar estrangulamentos e a garantir a estabilidade do sítio Web sob carga de tráfego através de testes automatizados. O Gatling Enterprise inclui funcionalidades avançadas de elaboração de relatórios (relatórios em tempo real, métricas de ligação TCP, utilização de largura de banda, monitorização de injectores) e funcionalidades de automatização (APIs públicas, novo plug-in de integração contínua, modo de cluster). As soluções da Gatling foram descarregadas 16.000.000 vezes por mais de 100.000 empresas em todo o mundo, numa vasta gama de sectores, tais como software, comércio eletrónico, meios de transmissão em fluxo contínuo, banca, seguros, jogos e finanças.

Endereço do sítio Web oficial:https://gatling.io/

6.LoadView
O LoadView da Dotcom-Monitor destina-se a equipas DevOps e engenheiros de testes de desempenho que pretendam testar websites, aplicações Web, APIs e multimédia em fluxo contínuo utilizando navegadores reais com centenas ou milhares de ligações simultâneas através de uma nuvem totalmente alojada. O LoadView também suporta testes de carga de coleções Postman e scripts JMeter. Com o EveryStep Web Recorder, a plataforma LoadView permite que as equipas criem rápida e facilmente scripts de cenários de utilizador complexos e tenham a flexibilidade de conceber múltiplos cenários de teste para os websites e aplicações mais complexos da atualidade!

Endereço do sítio Web oficial:https://www.loadview-testing.com/

7.k6 ​

O k6 é uma ferramenta de código aberto e um serviço na nuvem que facilita os testes de carga para os programadores, as operações e os engenheiros de garantia de qualidade. Ajudamos as equipas de software a melhorar os seus processos de teste para que possam fornecer consistentemente aplicações rápidas e fiáveis.

Endereço do sítio Web oficial:https://k6.io/

Como se proteger contra ataques de cc?

1. utilizar a sessão para efetuar contadores de acesso

Utilize a Sessão para criar contadores de visitas a páginas ou contadores de descarregamento de ficheiros para cada IP, para evitar que os utilizadores actualizem frequentemente a página, o que resulta em leituras frequentes da base de dados ou descarregamentos frequentes de ficheiros, gerando grandes quantidades de tráfego. (Os descarregamentos de ficheiros não devem utilizar diretamente o endereço de descarregamento para filtrar ataques CC no código do servidor)

2) Geração de páginas estáticas para o sítio Web

Muitos factos provaram que, na medida do possível, tornar o sítio estático não só pode melhorar consideravelmente a capacidade de impedir ataques, como também trará muitos problemas aos piratas informáticos. Por exemplo, portais como o Sina, o Sohu e o NetEase têm sobretudo páginas estáticas. Se não necessitar de scripts dinâmicos, pode enviá-los para um anfitrião separado para evitar o servidor principal em caso de ataque.

3) Melhoria da pilha TCP/IP do sistema operativo

Como sistemas operativos de servidor, o Win2000 e o Win2003 têm alguma proteção contra ataques DDOS. Geralmente não estão activadas por defeito. Se estiverem activadas, podem suportar cerca de 10.000 pacotes de ataque SYN, e pode ir ao site oficial da Microsoft para ver como o fazer.

4) Implantação de uma defesa CDN de alta defesa

A forma mais simples e conveniente de se defender contra ataques CC é ocultar o IP de origem do servidor acedendo à CDN de alta defesa, que pode identificar automaticamente o tráfego de ataque malicioso, limpar de forma inteligente o tráfego falso e devolver o tráfego normal de visitantes ao IP do servidor de origem para garantir o funcionamento normal e estável do servidor de origem.

Leitura recomendada::Inventário das mais recentes ferramentas de ataque DDoS em 2025: estratégias de defesa e contramedidas