方案概述

应用场景

当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定已遭受CC攻击，可以按照以下策略进行配置，利用WAF阻断CC攻击，保障网站业务的正常运行。

• WAF防护应用层流量的拒绝服务攻击，适合防御HTTP Get攻击等。
• WAF服务并不提供针对四层及以下流量的防护，例如：ACK Flood、UDP Flood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。

本手册基于Web应用防火墙实践所编写，指导您在遭遇CC（Challenge Collapsar）攻击时，完成基于IP限速和基于Cookie字段识别的防护规则的配置。

方案选择

• 方案一：CC攻击常见场景防护配置

  从不同的CC攻击防护场景中选择贴近您自身实际需求的场景，了解相关的防护设置。

• 方案二：通过IP限速限制网站访问频率

  当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，此时建议直接使用IP限速的方式进行访问频率限制。

• 方案三：通过Cookie字段限制网站访问频率

  对于源IP无法精准获取的网站（例如存在header中未插入“X-Forwarded-For”字段的Proxy），此时建议使用配置Cookie字段的方式进行访问频率限制。

• 方案四：通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载

  该场景用于：限制同一个账号切换IP、终端的恶意请求；限制在同一个PC多个账号不停切换的恶意请求。

方案优势

本实践基于多场景下不同形态的CC攻击，给出了最适合的防护方案，有助于用户能够快速防御CC攻击。

资源与成本规划