CC 防护规则基于域名生效,为访问网站配置后 DDoS 高防服务会限制对网站特定路径的访问频率,精准识别 CC 攻击,缓解 CC 攻击对服务器的影响。
背景信息
CC 攻击是一种针对网站业务的攻击手段,且具有一定的隐蔽性。CC 攻击一般会模拟正常用户和采用真实 IP 地址进行访问,向服务器发送大量看似合法的请求,造成服务无法正常访问。
如果您需要对防护的域名设置相关访问规则,通过请求频率、特定的请求头、来源 IP 地址等特征来过滤存在风险的访问请求,对其执行告警、限速、人机验证或拦截动作,可以为其设置 CC 防护规则。
限制条件
每个域名最多支持配置 20 条 CC 防护规则。
前提条件
您已成功购买 DDoS 高防实例并完成域名业务接入。
操作步骤
登录DDoS高防控制台。
在页面左侧,选择DDoS高防>防护策略。
单击Web攻击防护。
在页面左侧选择需要配置的域名,或是输入域名进行搜索。
单击CC防护对应的设置,然后单击添加规则。
配置 CC 防护规则的名称、请求特征、统计条件、执行动作和优先级。
参数
说明
规则名称
防护规则的名称,用于标识您的规则。例如
CC1。说明
- 支持填写英文、汉字和数字,不支持特殊字符。
- 长度限制在 20 个字符内。
请求路径
需要进行 CC 防护规则匹配的网站路径,可以填写具体的某个页面 URL,也可以填写整个网站。
- 默认填写:
- 支持某个具体的 URL 地址,例如针对
test.com/abc.html页面生效,则填写/abc.html即可。 - 支持含通配符的路径,如
/test/*。通配符仅可使用一次。 - 针对整个网站,则填写
/*即可。
- 支持某个具体的 URL 地址,例如针对
- 前缀匹配:勾选前缀匹配后,可提供包含某个前缀的路径匹配模式。如设置
/test*,则匹配/test.html,/test123.html,/test/page.html等。
说明
默认模式下(即未勾选前缀匹配时)配置的
/*路径规则优先级高于前缀匹配模式下配置/*路径的规则。高级条件
- 勾选现在配置后,单击窗口左下方添加可设置条件关系。
- 前述条件和高级条件为“且”的关系,防护策略取 IP 地址条件和高级条件的交集。
说明
每条规则最多支持设置 50 条匹配条件。
条件关系
添加的多条高级条件关系,当前支持 AND 和 OR。
- AND:所有匹配条件都满足时,才算命中。
- OR:满足多个条件中的一条时,即算命中。
条件列表
设置规则检测匹配的字段和条件,对满足条件的请求执行对应动作。
- 匹配字段:需要通过设定的字段来识别请求信息。从下拉列表框中选择匹配字段,支持请求协议、请求 URI、请求方法、请求路径、请求参数等字段。
- 自定义对象:除自定义 Args、自定义 Header、自定义 Cookie 需要设置自定义的对象外,其他匹配字段均保持默认值。
- 逻辑符:下拉列表框中选择逻辑符,支持大于、大于等于、等于、小于、小于等于、不等于、包含子串、不包含子串等逻辑符。不同的匹配字段适用的逻辑符存在差异,请以实际界面为准。
- 匹配内容:填写该字段需要匹配的值。
- 操作:删除单条高级条件规则。
统计对象
选择需要进行规则匹配的统计对象,支持自定义header、自定义cookie、自定义参数及源 IP。
阈值设置
统计对象需要设定统计周期和命中阈值。阈值为每对象在统计周期内可以正常访问的次数,及 路径正常访的总次数。超过访问次数阈值时,系统会根据预设的执行动作处理访问请求。
- 每对象访问次数:指当前统计对象对配置路径的请求次数。
- 路径访问次数:指当前配置路径的总请求数,包含但不限于当前配置的统计对象 ,建议配置次数高于“每对象访问次数”。
- 两者取“且”的关系,即同时满足两个条件时触发处置动作。
示例:配置策略为“在统计时长 60 秒内,每对象访问超 100 次,且路径访问超 1000 次”,则每统计对象在 60 秒内访问配置路径超过 100 次,且当前域名总访问次数超出 1000 次时,对当前统计对象执行预配置的处置动作。
统计时长
统计访问次数的周期,单位为秒。
执行动作
触发对应限制策略后的处置动作。
- 仅告警:请求频率触发了对应频率限制策略后,对该请求进行告警,但不限制。
- 限速:请求频率触发了对应频率限制策略后,限制该请求访问频率。
- 人机验证:请求频率触发了对应频率限制策略后,校验请求验证码,验证成功则在限制时长内对该请求加白,连续验证失败三次则在限制时长内拦截该请求。
- 拦截:请求频率触发了对应频率限制策略后,拦截该请求,拦截时长为限制时长。
限制时长
触发拦截执行动作时,限制或拦截该对象访问的时长。
说明
当执行动作为仅告警时,不需要配置限制时长。
优先级
规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。
规则开关
启用或关闭该规则,默认为开启状态。
单击确定。
配置结果
规则添加完成后,您可以在列表查看规则的配置信息,并进行规则优先级调整、快速添加等操作。
规则生效逻辑
配置 CC 规则后,当请求发生时,DDoS 高防将按照以下逻辑匹配规则。
- 访问请求先匹配访问路径。
在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html和/test.*的路径匹配规则,优先匹配/test.html相关的规则设置。 - 对于命中配置路径的请求,再匹配其请求特征。
- 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。
规则组分级
- 一级规则组:CC 规则按照请求路径进行分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。
- 二级规则组:在同一个一级规则组下,按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中,规则的优先级不能重复。
调整优先级
您可以通过拖拽顺序调整图标来调整规则的生效优先级。
- 拖拽下图①所示位置,可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件(即请求特征为
All)的规则的优先级。 - 拖拽下图②所示位置,可调整二级规则组下单条规则的优先级。
快速添加规则
- 单击下图③所示位置,可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。
- 单击下图④所示位置,可快速添加满足相同请求特征(即请求路径和高级条件配置都相同)的 CC 规则。您可以自定义除请求特征外的其他参数。
配置指引
假设您的预期场景如下:对于域名下/test.html的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。
规则一 | 规则二 | |
|---|---|---|
规则名称 | 自定义 | 自定义 |
请求路径 |
|
|
统计对象 | 源 IP | 源 IP |
阈值设置 | 每对象访问超 500 次,且请求路径访问超 600 次。 | 每对象访问超 50 次,且请求路径访问超 60 次。 |
统计时长 | 60 秒 | 60 秒 |
执行动作 | 拦截 | 告警 |
限制时长 | 60 秒 | - |
优先级 | P0 | P1 |