首先攻擊者擁有(yǒu)一個(gè)流量巨大(dà)的網站(zhàn)，這個(gè)網站(zhàn)的流量，很(hěn)可(kě)能是他花(huā)錢(qián)買回來(lái)的，當然也可(kě)能是他控制(zhì)的肉雞，在控制(zhì)的肉雞上(shàng)面訪問他的網站(zhàn)。黑(hēi)客的網站(zhàn)首頁非常簡單，但(dàn)是在他的源代碼中，卻隐藏了達到上(shàng)百個(gè)<iframe>标簽。對！聰明(míng)的你(nǐ)，應該想得(de)出他的<iframe>标簽裏面放的是什麽了吧(ba)？沒錯！他的<iframe>裏面，放的就是他要攻擊的網站(zhàn)的地址。

         舉一個(gè)例子來(lái)說明(míng)一下攻擊者的威力，假設黑(hēi)客的網站(zhàn)是aaa.com，你(nǐ)的網站(zhàn)是BBB.com。如果有(yǒu)人(rén)在163的首頁代碼中，有(yǒu)這麽一段<iframe src="http://aaa.com" border="0" width="0" height="0"></iframe>那(nà)麽在所有(yǒu)人(rén)訪問163的主頁時(shí)，也會(huì)不知不覺的訪問http://aaa.com。然後http://aaa.com的首頁中可(kě)能有(yǒu)100個(gè)如下的代碼<iframe src=http://BBB.com border="0" width="0" height="0"></iframe>當然他還(hái)可(kě)能放上(shàng)bbb.com這個(gè)網站(zhàn)十個(gè)甚至更多(duō)不同的地址。那(nà)就表明(míng)：凡是有(yǒu)一個(gè)人(rén)訪問了163，就可(kě)能會(huì)訪問BBB.com十次。以每秒(miǎo)300個(gè)請(qǐng)求來(lái)說，一天就是25920000個(gè)請(qǐng)求，再加上(shàng)頁面上(shàng)的圖片和(hé)其它文件等，估計(jì)就是上(shàng)億個(gè)請(qǐng)求了。1天上(shàng)億個(gè)請(qǐng)求，普通(tōng)的網站(zhàn)受得(de)了嗎？有(yǒu)很(hěn)多(duō)被攻擊的網站(zhàn)用的是虛拟主機，每秒(miǎo)不到100個(gè)連接可(kě)能就無法提供服務了。即使是那(nà)種單獨幾台服務器(qì)的網站(zhàn)，也根本就無法承受！即使WEB Server可(kě)以承受，那(nà)帶寬呢？即使帶寬可(kě)以承受，那(nà)麽Db Server呢？

         有(yǒu)網站(zhàn)受到此種攻擊，試着将網站(zhàn)轉移到他朋友(yǒu)的服務器(qì)上(shàng)面，當然最後的結果還(hái)是照樣拖累他朋友(yǒu)的服務器(qì)癱瘓。

         這種就是是典型的CC攻擊。CC攻擊比DDOS攻擊更可(kě)怕的就是，CC攻擊一般是硬防很(hěn)難防止住的。為(wèi)什麽呢？

         一、因為(wèi)CC攻擊來(lái)的IP都是真實的，分散的；

         二、CC攻擊的數(shù)據包都是正常的數(shù)據包；

         三、CC攻擊的請(qǐng)求，全都是有(yǒu)效的請(qǐng)求，無法拒絕的請(qǐng)求。

         其實隻要仔細研究了一下這種攻擊的模式，發現這種攻擊，理(lǐ)論上(shàng)是可(kě)以防止的，即隻要通(tōng)過有(yǒu)效的手段，完全可(kě)以将危害降低(dī)到最輕。因為(wèi)這種攻擊有(yǒu)一個(gè)緻命的弱點。它緻命的弱點在哪裏呢？當然就是在<iframe>上(shàng)面。通(tōng)過<iframe>進行(xíng)CC攻擊，攻擊者的想法和(hé)創意，确實很(hěn)讓人(rén)驚歎，但(dàn)這正好造成了他的完美失敗。熟悉網頁程序的朋友(yǒu)應該都知道(dào)，用<iframe>嵌入的網頁，自然都會(huì)有(yǒu)HTTP_REFERER值，而有(yǒu)了這個(gè)值，從這個(gè)值上(shàng)面屏蔽或是轉發掉來(lái)源的網站(zhàn)即可(kě)。也就是說，你(nǐ)可(kě)以訪問我，但(dàn)是我不将真實的頁面返回給你(nǐ)，我可(kě)以把你(nǐ)随意打發掉，或是将你(nǐ)随意轉到另外一個(gè)網站(zhàn)上(shàng)去（如：公安部？哈哈，我就見過有(yǒu)人(rén)類似這樣做(zuò)的），這樣我就可(kě)以大(dà)量的節省我的帶寬、我的DB Server資源、我的Web Server資源。你(nǐ)最多(duō)就是占用了我大(dà)量的TCP連接罷了。

         下面貼一段Web server的配置代碼，用于解決此類攻擊：

         valid_referers none blocked server_names www.zjcoo.com google.com google.cn *.google.com *.google.cn baidu.com *.baidu.com *.你(nǐ)自己的域名(在這裏還(hái)可(kě)以加入其他的，比如說SOSO，YAHOO，SOGOU YOUDAO等);
if ($invalid_referer) {

        return   404;
}

         上(shàng)面的代碼，很(hěn)簡單的設置了，隻要不是HTTP_REFERER來(lái)源于上(shàng)面設置網址來(lái)源的請(qǐng)求，通(tōng)通(tōng)轉發至404。在此順便提醒一下那(nà)些(xiē)賣流量的站(zhàn)長們，不要因為(wèi)自己的一點小(xiǎo)利，就不小(xiǎo)心成了黑(hēi)客攻擊者們的肉雞。