You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /Web应用防火墙/最佳实践/配置防护策略抵御 CC 攻击最佳实践
配置防护策略抵御 CC 攻击最佳实践
最近更新时间:2024.09.25 14:03:48首次发布时间:2024.09.25 14:03:48
我的收藏

如果您的业务容易暴露在 CC 攻击风险中,建议通过配置 CC 防护策略和 Bot 统计防护提升防护效果。防止您的服务器资源被过度占用,确保正常访问业务不受影响。

CC 攻击方式说明

常见的 CC 攻击主要包括以下攻击方式:

  • 高频率请求:攻击者可以控制请求的频率,在短时间内向目标网站发送大量请求,例如每秒发送数百甚至数千个请求。这种请求可能是对首页或特定页面的频繁访问,以最大程度地消耗服务器资源。
  • 多源 IP 地址:攻击者使用多个不同的 IP 地址来发起攻击,以绕过服务器的访问控制机制,使得单个 IP 地址的请求限制策略失效。多源 IP 地址请求可以使攻击者更难被追踪和识别,并且增加防御的难度。

配置 CC 防护策略

WAF 提供 CC 自定义防护和 CC 智能防护两种模式。两种模式同时开启时,系统先匹配自定义防护规则,如果请求没有命中自定义防护规则,再匹配智能防护策略。

  • CC 自定义防护:支持基于业务情况,灵活自定义白流量请求特征。可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,缓解 CC 攻击对服务器的影响。
  • CC 智能防护(仅面向高级版及以上版本开放且限时免费):WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。开启 CC 智能防护功能后,WAF 将在监控到请求流量后启动业务流量基线学习。初次学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。

配置 CC 自定义防护策略

配置符合需求且有效的自定义防护策略,需要先对业务流量情况进行分析。例如设定一条 CC 规则,观测单个 IP 在统计周期内对指定路径请求的次数是否超过设定阈值,并结合访问日志分析是否拦截了攻击请求。

注意事项

如果已经明确有可能被 CC 攻击防护策略误报的 IP,可以通过访问控制的允许访问名单功能执行加白操作。

场景说明

当一个 IP 在 10 秒内访问当前域名下登录页面login.html的次数超过 1000 次,则记录该 IP 的请求行为。
该场景仅作为示例参考。在实际应用中,您需要根据自身业务需求设置防护路径和防护阈值,并选择合适的处置动作,以实现防护效果。

操作步骤

  1. 登录 Web 应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略 > CC 防护

  4. 开启待防护域名的 CC 防护功能。

    1. 选择待防护域名。

      说明

      确认当前域名防护模式为启用防护,否则需要更改防护模式。

    2. 开启 CC 自定义防护开关。

  5. 单击添加规则,配置相关参数。

    • 请求路径:填写该域名下最重要、访问次数最多的路径,例如网站登录页面/login.html
    • 统计对象:选择源 IP,即以 IP 为维度,统计不同 IP 的请求数据。
    • 统计时长:根据流量波动情况设置。业务波动越大,则设置一个相对越小的值。建议设置为 5-10 秒。
    • 阈值设置:选择周期循环生效
      • 每对象访问阈值和请求路径阈值保持一致即可,这里都设置为 1000。
      • 如果生效时间需要包含 00:00,建议设置 00:00 前和 00:00 后两个时间段以确保数据记录完整。例如需要设置生效时间为晚上 19:00 至次日早上 05:00,则设置两段生效时间分别为 19:00-23:59 和 00:00-04:59。
    • 指定动作:设置为观察。

  6. 单击确定

后续操作

日志管理页面,筛选指定域名和路径下,执行动作为通过观察的日志数据。判断是否存在误报或漏报请求。

  • 如果执行动作为通过的日志中仅包含正常业务请求,且执行动作为观察的日志中仅包含攻击请求,则说明没有误报和漏报。此时,建议将处置动作调整为拦截以实现防护。
  • 如果执行动作为观察的日志中,包含正常业务请求(即存在误报),则建议将阈值调整为更高值之后再观察防护效果。
  • 如果执行动作为通过的日志中,包含攻击请求(即存在漏报),则建议将阈值调整为更低值之后再观察防护效果。

配置 CC 智能防护策略

WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。

注意事项

CC 智能防护功能处于限时免费阶段,当前仅面向高级版及以上规格开放。

操作步骤

  1. 登录 Web 应用防火墙控制台
  2. 在顶部菜单栏选择实例所属地域。
  3. 在左侧导航选择防护策略 > CC 防护
  4. 开启待防护域名的 CC 防护功能。
    1. 选择待防护域名。

      说明

      确认当前域名防护模式为启用防护,否则需要更改防护模式。

    2. 开启 CC 智能防护开关。
    3. 设置模式为托管模式-正常,动作为智能托管

后续操作

根据业务状态和防护效果调整参数设置。

  • 如果您的业务正处于攻击状态,建议及时调整模式为紧急模式
  • 如果当前的智能防护效果不能有效阻挡攻击,建议将防护阈值区间设置为较严格

配置 Bot 统计防护策略

如果您发现攻击源 IP、User-Agent 或者请求路径满足固定特征,这些攻击请求很可能由自动化工具发起的。针对此类攻击请求,您可以再新建一条 Bot 统计防护策略。Bot 统计防护规则用于统计满足请求特征的统计对象在特定时间内的 IP 重复次数或 IP 重复占比,当统计内容达到设定阈值后,对满足请求特征的请求执行观察、拦截、人机验证或其他动作。

注意事项

Bot 管理功能当前仅面向高级版及以上规格开放。

场景说明

假设某类攻击流量具备以下特征:30 秒内相同 User-Agent 的源 IP 数量占所有源 IP 的比重超过 15%。现需对该攻击行为设置 Bot 统计防护策略,参考如下操作。

操作步骤

  1. 登录 Web 应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略 > Bot 管理

  4. 开启待防护域名的统计防护规则功能。

    1. 选择待防护域名。

      说明

      确认当前域名防护模式为启用防护,否则需要更改防护模式。

    2. 确认当前域名防护模式为“启用防护”,否则需要更改防护模式。
    3. 开启统计防护规则开关。

  5. 单击添加规则,配置相关参数。

    • 特征描述:请求路径为**/***,或是将路径设置为其他访问次数较高且比较重要的路径。
    • 统计对象:自定义 header 设置为 User-Agent
    • 统计内容:重复占比,15 秒内,每对象中值相同的 IP 占比超过 10%,且数量大于 20 个。
    • 执行动作:观察。

  6. 单击确定

后续操作

日志管理页面,筛选指定域名和路径下,执行动作为通过观察的日志数据。判断是否存在误报或漏报请求。

  • 如果执行动作为通过的日志中仅包含正常业务请求,且执行动作为观察的日志中仅包含攻击请求,则说明没有误报和漏报。此时,建议将处置动作调整为拦截以实现防护。
  • 如果执行动作为观察的日志中,包含正常业务请求(即存在误报),则建议将阈值调整为更高值之后再观察防护效果。
  • 如果执行动作为通过的日志中,包含攻击请求(即存在漏报),则建议将阈值调整为更低值之后再观察防护效果。