蓝易云CDN：配置CC安全防护以防御CC攻击

CC攻击（Challenge Collapsar）是一种针对Web应用层的分布式拒绝服务攻击，攻击者通过模拟大量正常用户请求，持续消耗服务器资源，最终导致网站响应缓慢甚至瘫痪。与传统的流量型DDoS不同，CC攻击的请求在协议层面看起来完全合法，因此防御难度更高 ⚠️

蓝易云CDN在节点侧内置了多层CC防护机制，下面从实际配置角度讲解如何有效开启并调优这些防护能力。

一、理解CC攻击的核心特征

在配置防护之前，需要先弄清CC攻击的典型行为模式：

高频请求集中在动态接口——攻击者通常不会去请求静态资源（图片、CSS），而是反复请求数据库查询密集的页面，比如搜索接口、登录接口、API查询等。每一次请求都会触发后端计算，几千个并发就足以把源站压垮 🔥

单IP请求频率异常——正常用户每秒发起的请求通常在个位数，而CC攻击源往往每秒数十甚至上百次请求同一路径。

User-Agent和行为模式单一——大量请求携带相同或空白的UA头，且不会加载页面内的JS、图片等子资源。

二、蓝易云CDN节点侧CC防护配置 🛡️

蓝易云CDN基于OpenResty构建，CC防护的核心逻辑在Nginx/Lua层实现。以下是关键的配置思路和对应指令：

1. 请求频率限制（Rate Limiting）

这是最基础也是最有效的CC防御手段。通过 limit_req 模块对单IP的请求速率进行约束：

http {
    limit_req_zone $binary_remote_addr zone=cc_defense:20m rate=30r/s;
}

server {
    location /api/ {
        limit_req zone=cc_defense burst=50 nodelay;
        limit_req_status 444;
        proxy_pass http://backend;
    }
}

逐行解释：

• limit_req_zone 定义一个名为 cc_defense 的共享内存区，大小20MB，足以存储约16万个IP地址的访问状态。rate=30r/s 表示每个IP每秒最多允许30个请求。
• limit_req zone=cc_defense burst=50 nodelay 在具体的location中启用限速，burst=50 允许瞬时突发最多50个请求排队，nodelay 表示突发请求立即处理而非延迟排队，超出部分直接拒绝。
• limit_req_status 444 将被限速的请求返回444状态码（Nginx特殊状态码，直接断开连接不发送响应体），这样可以最大限度节省服务器资源。

2. 并发连接数限制

限制单IP同时保持的连接数量，防止攻击者通过大量并发连接耗尽worker资源：

http {
    limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
}

server {
    location / {
        limit_conn conn_limit 50;
        limit_conn_status 503;
    }
}

解释： limit_conn conn_limit 50 表示每个客户端IP最多同时保持50个活跃连接。超出后返回503状态码。对于正常浏览行为，单个用户并发连接数极少超过10个，设置50已经非常宽裕 📊

3. JS质询验证（浏览器人机校验）

针对自动化工具发起的CC攻击，可以通过返回一段JavaScript挑战代码来区分真实浏览器和脚本程序：

location /protected/ {
    access_by_lua_block {
        local cookie = ngx.var.cookie_cc_verified
        if cookie ~= "passed" then
            ngx.header["Content-Type"] = "text/html"
            ngx.say([[
                <script>
                document.cookie="cc_verified=passed;path=/;max-age=3600";
                location.reload();
                </script>
            ]])
            return ngx.exit(200)
        end
    }
    proxy_pass http://backend;
}

解释： 这段Lua代码的逻辑是——当用户首次访问受保护路径时，检查是否携带名为 cc_verified 的Cookie。如果没有，则返回一段JS代码，由浏览器执行后自动设置Cookie并刷新页面。真实浏览器会正常执行JS完成验证，而大多数CC攻击脚本不具备JS执行能力，请求会被持续拦截在这一层 ✅

生产环境中建议对Cookie值做加密签名（比如基于时间戳和密钥的HMAC），防止攻击者直接伪造Cookie绕过校验。

4. 黑名单与IP信誉联动

当检测到某个IP触发限速规则的次数超过阈值时，可以通过Lua动态将其加入临时黑名单：

access_by_lua_block {
    local limit_count = ngx.shared.block_list:get(ngx.var.remote_addr)
    if limit_count and limit_count > 100 then
        return ngx.exit(403)
    end
}

解释： 利用OpenResty的共享内存字典 block_list 记录每个IP的违规计数。当某个IP累计被限速拦截超过100次后，后续请求直接返回403拒绝，无需再进入限速逻辑判断，进一步降低资源开销 🚫

三、防护策略调优建议

分路径设置不同阈值——静态资源路径（如 /static/、/images/）可以放宽限速，动态接口路径需要收紧。不要对全站使用统一的限速值，否则容易误伤正常用户或防护力度不足。

关注真实IP透传——CDN架构下，Nginx拿到的 $remote_addr 可能是上游节点IP而非客户端真实IP。务必确认通过 $http_x_forwarded_for 或自定义头获取到真实客户端地址，否则限速规则会按节点IP聚合，导致防护完全失效 ⚡

监控与告警前置——配置Nginx访问日志的实时分析，当某个路径的QPS突然飙升时及时告警。事后防御永远不如提前感知。

渐进式收紧策略——遭受攻击时，建议分阶段逐步降低限速阈值（例如从30r/s降到10r/s再到5r/s），同时观察正常用户的访问是否受到影响，找到防护强度和用户体验之间的平衡点 🎯

CC攻击防御的核心思路就是识别异常、限制频率、验证身份、动态封禁，四个环节层层递进。蓝易云CDN通过OpenResty的高性能Lua执行能力，可以在边缘节点直接完成这些防护动作，将恶意流量拦截在源站之前，从而保障业务的稳定运行。