Что такое атака CC?

Challenge Collapsar Attack (CC) - это тип атаки на веб-приложения, часто называемый "атаками типа "отказ в обслуживании" на веб-сайты" (DDoS), который потребляет ресурсы сервера посредством большого количества поддельных HTTP-запросов, вызывая перегрузку или даже крах сервера. DDoS Злоумышленник делает это, отправляя большое количество запросов, обычно поддельных, низкоскоростных, которые не требуют такой большой пропускной способности, как DDoS-атака, но которые могут истощить вычислительную мощность сервера большим количеством запросов, в конечном итоге делая сервис недоступным.
Этот тип атаки характеризуется низким объемом трафика, но чрезвычайно высокой частотой запросов, цель которых - исчерпать ресурсы сервера веб-приложений и вызвать блокировку сервиса.

Принцип атаки CC

Принцип CC-атаки заключается в том, что злоумышленник безостановочно отправляет большое количество пакетов на сервер другой стороны, контролируя определенные узлы, особенно те страницы, для обработки которых требуется большое количество ресурсов процессора, такие как форумы, запросы к базам данных и т. д., с целью потребления ресурсов сервера, так что процессор находится под высокой нагрузкой в течение длительного периода времени, что приводит к истощению ресурсов сервера, вызывая перегрузку сети и прерывание обслуживания, и не в состоянии обрабатывать обычные запросы доступа.

Рекомендуемые платформы для стресс-тестирования КК в 2025 году 

1.51DDOS
51DDOS - это профессиональная платформа для стресс-тестирования DDoS- и CC-атак, разработанная для того, чтобы помочь предприятиям и веб-мастерам оценить устойчивость своих сайтов и серверов к атакам. Моделируя реальные сценарии DDoS-атак, пользователи могут выявить слабые места в своих системах и заранее подготовиться к защите.

Адрес официального сайта:https://www.51ddos.com

2.Лямбда-тест

LambdaTest (lambdatest.com) - это ИИ-нативная, омни-канальная платформа качества программного обеспечения, которая помогает организациям ускорить выход на рынок за счет интеллектуального облачного создания, оркестровки и выполнения тестов. 15 000 клиентов и 2,3 миллиона пользователей в более чем 130 странах делают LambdaTest надежным выбором для современного тестирования программного обеспечения. LambdaTest - надежный выбор для современного тестирования программного обеспечения. Облачное тестирование браузеров и приложений: Обеспечьте кросс-платформенную совместимость с помощью ручного и автоматизированного тестирования веб- и мобильных приложений в 5 000+ браузерах, реальных устройствах и операционных системах.

Адрес официального сайта:https://www.lambdatest.com

3.BrowserStack
BrowserStack - это ведущая платформа для тестирования, созданная для разработчиков и специалистов по контролю качества с целью расширения тестового покрытия, масштабирования и оптимизации тестов. Команды и организации всех размеров используют BrowserStack, независимо от того, тестируют ли они вручную, начинают автоматизацию тестирования или масштабируют автоматизацию. Более 50 000 клиентов, включая Amazon, Paypal, Wells Fargo, Nvidia, MongoDB, Pfizer, GE, Discovery, React JS, Apache, JQuery и другие, полагаются на BrowserStack для тестирования своих веб- и мобильных приложений. Мы помогаем им расширять тестовое покрытие за счет кросс-браузерного тестирования, тестирования на реальных устройствах, тестирования доступности и визуализации. - Расширение автоматизации тестирования с помощью ведущего кроссбраузерного облака BrowserStack, облака реальных устройств и наблюдаемости тестов.

Адрес официального сайта:https://www.browserstack.com

4. PFLB
PFLB - это платформа нагрузочного тестирования на основе искусственного интеллекта, разработанная для того, чтобы помочь командам уверенно масштабировать свои веб-сайты и приложения. С помощью PFLB вы можете без труда моделировать огромные объемы трафика, воспроизводя реальные условия и обеспечивая производительность своих продуктов при пиковых нагрузках.

Адрес официального сайта:https://pflb.us/

5. Гатлинг
Gatling - это решение для нагрузочного тестирования, которое помогает организациям выявлять "узкие места" и обеспечивать стабильность веб-сайта при нагрузках на трафик с помощью автоматизированного тестирования. Gatling Enterprise включает в себя расширенные функции отчетности (отчетность в реальном времени, метрики TCP-соединений, использование полосы пропускания, мониторинг инжекторов) и автоматизации (публичные API, новый плагин непрерывной интеграции, кластерный режим). Решения Gatling были загружены 16 000 000 раз более чем 100 000 компаний по всему миру в самых разных отраслях, таких как программное обеспечение, электронная коммерция, потоковое мультимедиа, банковское дело, страхование, игры и финансы.

Адрес официального сайта:https://gatling.io/

6.LoadView
LoadView от Dotcom-Monitor предназначен для команд DevOps и инженеров по тестированию производительности, которые хотят проводить нагрузочное тестирование веб-сайтов, веб-приложений, API и потокового мультимедиа с помощью реальных браузеров с сотнями или тысячами одновременных подключений через полностью размещенное облако. LoadView также поддерживает нагрузочное тестирование Postman Collections и скриптов JMeter. Вместе с EveryStep Web Recorder платформа LoadView позволяет командам быстро и легко писать сложные пользовательские сценарии и гибко разрабатывать многочисленные сценарии тестирования для самых сложных современных веб-сайтов и приложений!

Адрес официального сайта:https://www.loadview-testing.com/

7.k6 ​

k6 - это инструмент с открытым исходным кодом и облачный сервис, который упрощает нагрузочное тестирование для разработчиков, операторов и инженеров по контролю качества. Мы помогаем командам разработчиков программного обеспечения улучшить процессы тестирования, чтобы они могли стабильно поставлять быстрые и надежные приложения.

Адрес официального сайта:https://k6.io/

Как защититься от кс атак?

1. Используйте сеанс для выполнения счетчиков доступа

Используйте сессию для создания счетчиков посещений страниц или загрузок файлов для каждого IP-адреса, чтобы предотвратить частое обновление страниц пользователями, что приводит к частому чтению базы данных или частым загрузкам файлов, генерирующим большой объем трафика. (При загрузке файлов не следует напрямую использовать адрес загрузки, чтобы отфильтровать CC-атаки в коде сервера).

2. Создание статических страниц для веб-сайта

Множество фактов доказали, что по возможности делать сайт статичным не только может значительно улучшить способность предотвращать атаки, но и принесет немало неприятностей хакерам. Например, такие порталы, как Sina, Sohu и NetEase, имеют в основном статические страницы. Если вам не нужны динамические скрипты, вы можете отправить их на отдельный хост, чтобы избежать атаки на основной сервер.

3. усовершенствование стека TCP/IP операционной системы

Как серверные операционные системы, Win2000 и Win2003 имеют некоторую защиту от DDOS-атак. По умолчанию она обычно не включена. Если они включены, то могут выдержать около 10 000 пакетов SYN-атак, и вы можете зайти на официальный сайт Microsoft, чтобы узнать, как это сделать.

4. развертывание высокоэффективной защиты CDN

Самый простой и удобный способ защиты от CC-атак - скрыть IP-адрес сервера-источника, обратившись к высокозащищенной CDN, которая может автоматически идентифицировать вредоносный трафик атаки, интеллектуально очистить ложный трафик и вернуть нормальный трафик посетителей на IP-адрес сервера-источника, чтобы обеспечить нормальную и стабильную работу сервера-источника.

Рекомендуемое чтение::Инвентаризация новейших средств DDoS-атак в 2025 году: стратегии защиты и противодействия