9月2日下午，媽媽幫論壇一臺騰訊云服務(wù)器開始出現(xiàn)異常的高負(fù)載情況。首先是自動觸發(fā)了 自動擴容機制，增加了新服務(wù)器進(jìn)來分擔(dān)壓力，保障了服務(wù)的持續(xù)可用，給問題解決爭取了時間窗口。

隨后手機收到告警短信，登錄騰訊云控制臺，首先排除了DDOS，因為外網(wǎng)入帶寬和出帶寬都正常。異常的是內(nèi)網(wǎng)出帶寬和入帶寬。難道有內(nèi)網(wǎng)的服務(wù)器發(fā)起攻擊？

登錄到服務(wù)器上來看，top沒有看出什么異常，沒有特別高的進(jìn)程，php-fpm進(jìn)程確實多了一些，每個進(jìn)程的cpu時間也確實長了一些，但是也不說明什么問題?？碼ccess_log也沒有看到ip聚集的請求。

懷疑服務(wù)器本身有異常，把服務(wù)器重啟了一下，問題沒解決。

把出現(xiàn)問題的服務(wù)器（server4）從負(fù)載均衡中踢出，問題立刻消失。加回到負(fù)載均衡集群中，問題沒有再出現(xiàn)了。

隨后發(fā)現(xiàn)，另一臺原來沒有問題的服務(wù)器（server1）現(xiàn)在變成高負(fù)載了。一樣從負(fù)載均衡中踢出來再加回去，這下兩臺都高負(fù)載了。

沒有什么頭緒，只好繼續(xù)分析access_log。這次看出來問題了。

有一批來自世界各地的肉雞（也可能是偽造的ip）在根據(jù)用戶ID一個一個的訪問用戶資料。這些ip都來自哪里的呢？

所以問題很清晰了，這是一個CC攻擊，并且攻擊ip是分散的，不能通過封ip來化解。

攻擊者借助代理服務(wù)器生成指向受害主機的合法請求，實現(xiàn)DDOS和偽裝就叫：CC(ChallengeCollapsar)。

對于CC攻擊，我們接入了百度云加速CDN進(jìn)行防護，具備1Tbps的壓制能力的抗D中心，擁有自有DDoS/CC清洗算法，可有效幫助網(wǎng)站防御SYN Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Proxy Flood、CC等常見的洪水攻擊。價格也非常便宜，媽媽幫使用了商務(wù)版，修改解析，并啟用云加速的超級清洗中心后，服務(wù)器果然正常了。