WAF的工作原理及CC攻击

WAF的工作原理

WAF（web application firewall）web应用防火墙，它工作在OSI模型的第七层，也就是应用层，对来着web应用程序客户端的各类请求、访问进行检测和验证，为确保web应用程序的安全，对非法的访问请求给予及时阻断，为web应用提供防护，称之为防护墙，是网络安全纵深防御体系中重要的一环。waf属于检测型及纠正型防御控制措施；waf分为硬件waf、软件waf、和代码级waf.
waf对请求的内容进行规则匹配，行为分析等识别出恶意行为，并执行相关动作，如：阻断、记录、告警等。
waf工作在web服务器之前，对基于HTTP协议的通讯进行检测和识别，通俗的说，waf类似于地铁站的安全检查，对于HTTP请求进行快速安全检查，通过分析HTTP的数据，在不同的字段分别在特征、规则等维度进行判断。判断的结果作为是否拦截的依据，从而决定是否放行。

什么是CC攻击，及其防御方式

CC攻击全程Challenge Collapsar,是DDoS攻击的一种，CC攻击的目标是应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装的DDoS,成本低、威力打，80%的DDoS攻击都是CC攻击，那么CC攻击常用的防护手段有哪些呢？

1、web服务器端区分攻击者与正常访客

通过分析网站日志，基本可以分辨出那个IP是CC攻击，例如普通浏览者访问一个网友，必定回连续抓取网页的HTML、CSS、JS和图片等一序列相关文件，而CC攻击是通过程序来抓取网页，仅仅只会抓取一个URL地址发文件，不会抓取其他类型文件，所以通过分辨攻击者的IP，进行屏蔽就可以起到很好的防范效果。

2、网站内容静态化

静态内容可以极大程度地减少资源消耗，也就破坏了攻击者想要让服务器资源耗尽的目的。

3、限制IP链接数

一般正常的浏览者肯定不会在一秒中连续多次极快的访问同一个页面，可以配置Web服务器，限定IP访问频率。

4、云waf

这类产品的原理就是用户访问你的域名时，会经过这里产品的代理扫描，发现问题直接拦下，没有问题在把用户请求转到你的网站。
优点：安装配置快速，大公司产品保障好。
缺点：网站访问数据不保密，如果你的网站访问数据属于保密信息，就不能用云waf，有绕过风险，waf对网站的主要保护是通过反向代理来实现的，如果不经过这个代理，攻击者如果找到方法直接获取到网站的IP，就可以绕过WAF直接攻击，自然就无法防护网站了。

5、限制代理访问

一般的代理都会在HTTP头中带X-FORWARDED-FOR字段，但也有局限有的代理请求中就没有该字段，另外有的客户端确实需要代理才能访问目标服务器，这种限制就拒绝了这类合法客户，防护方式有很多，但目前还没有统一而绝对有效可以防护CC攻击的方法，只能多种手段并用。