攻防态势转变:低速率持续性CC攻击崛起,传统WAF限流策略大面积失效

发布于 2026-07-17 来源 DDOS.COM 5

近期多家网络安全厂商威胁情报同步指出,网络攻击战术正在发生重大转变。以往攻击者热衷于TB级短时流量DDoS,试图打满服务器带宽;现阶段低速率波浪式CC攻击持续泛滥,成为针对网站、AI平台、在线业务最频发的攻击类型。

黑产不再追求瞬间瘫痪业务,转而采用分布式低频请求,模拟正常用户访问行为,实现长时间持续消耗服务器资源。安全厂商监测到一起针对AIGC平台攻击事件,持续5小时累计24.5亿次请求,全程流量平稳,未触发常规流量告警,最终造成接口响应超时、用户无法正常使用服务。

CC攻击

一、慢速CC攻击核心特征,规避各类基础防护规则

新型慢速CC具备极强隐蔽性。攻击者操控海量分散IP,控制单IP访问频率低于WAF默认限流阈值;并且采用周期性暂停请求策略,利用防护系统计数器自动重置机制持续规避拦截。攻击目标精准瞄准数据库查询、AI推理、支付事务等高消耗接口,几百Mbps流量即可引发业务故障。

AI技术进一步放大攻击威力,黑产借助大模型随机生成UA、Cookie、请求参数,每条访问特征互不重复。传统依靠特征指纹识别机器人的WAF检测效率持续下滑,单纯IP封禁、固定QPS限流方案越来越难以奏效。

 

二、多层混合攻击常态化,安全设备算力易被牵制

当前超过70%的DDoS事件采用混合攻击模式,网络层洪水、HTTPCC、漏洞扫描同步开展。攻击者刻意制造中等流量冲击WAF与流量清洗中心,迫使安全设备负载飙升,深度检测策略自动降级;紧接着投放Web攻击载荷尝试入侵业务。

对于中小企业而言,防护资源有限,一旦同时应对流量冲击与应用层攻击,很容易出现顾此失彼的情况。大量企业仅部署基础防护,缺少针对应用层逻辑资源耗尽攻击的专项策略,防御体系存在明显断层。

 

三、优化CC防护策略,构建行为基线安全体系

想要有效抵御低速CC攻击,企业需要跳出单纯限流思维。优先部署具备AI行为分析能力的新一代WAF,基于业务流量建立正常访问基线,识别异常访问模式,而不是依赖统一静态阈值。针对核心高消耗接口单独配置精细化防护规则,限制单次请求资源占用时长。

运维日常持续监控接口CPU、数据库连接池、并发会话指标,建立资源维度告警,不只是监控带宽指标。有条件企业可以接入边缘节点分流异常流量,结合人机验证、设备指纹识别区分真实用户与自动化攻击,全方位抵御日趋智能的应用层DDoS威胁。