为什么发起 CC 攻击的人能找到那么多 IP？

UA 一样吗？只请求了一个 url 还是请求了整个页面上的所有资源？ 代理 ip 五毛钱可以买到几千个了。

@shiny UA 一样，请求了类似这样的 url ：
/aaaa.php?ufyweglkjrthjeflwefehtyjtyj
/aaaa.php?hgjhweflkjerlrthjytj
前面的 “/aaaa.php ” 一样，后面字符串随机，而 aaaa.php 这个文件在我服务器上是不存在的，绝对不会有正常访客请求这个文件。
没请求其他资源。
我根据以上规则从访问日志里找出了攻击的 IP ，全部禁止 ，但是我怕禁止得太多，会误禁止了蜘蛛和正常访客。
想过用 iptables 的 recent 模块去禁止，但我对这个不熟悉，弄不好。

在我看来，没有多少资源的一般用 cc 。

不像 CC ，不存在这个动机，要攻击你完全可以选择消耗资源多的 url ，而不是 404 页面。你可以抓取它的每次请求的 http header 看看有没有源 ip 。 如果不按流量计费让它去好了。

@shiny 代理 IP 怎么能买？

发起 cc 攻击不一定要搞代理 ip ，也可能是通过 xss 攻击：得到某个流量比较大的站点的某存储 xss 漏洞，然后插入了自己的 js 代码，这时候所有访问这个页面的机器都可以进行控制了，也就是可以下发“ cc ”攻击指令进行恶意访问目标达到最终目的。 说起来也是挺简单的，就不知道 lz 得罪了什么人或者有什么竞争对手。。

@misaka19000 淘宝上就能买。有的人批量扫描代理 ip 然后提供 API 出售。自己爬免费的代理 ip 网站都能获取很多了。

3W 太少了，平平常常