waf
基于Cookie字段的配置
更新时间:2020/12/14 GMT+08:00
对于有些网站,源IP无法精准获取。例如:存在未在header中插入“X-Forwarded-For”字段的Proxy或其他原因,建议使用配置Cookie字段实现用户标识。
攻击案例:
竞争对手控制数台主机,与大多普通访客一样,共用同一IP,或通过代理频繁更换源IP,持续向网站“www.hwexample.com”发起HTTP Post请求,网站并无较大的负载能力,网站连接数、带宽等资源均被该攻击者大量占用,正常用户无法访问网站,最终竞争力急剧下降。
防护措施:
- 根据服务访问请求统计,判断网站是否有大量同一IP请求发生,如果有则说明网站很有可能遭受了CC攻击。
- 登录华为云控制台,将您的网站成功接入Web应用防火墙,关于域名接入的具体操作请参见添加防护域名。
- 选择“域名配置”页面,在您需要防护的域名(网站)所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护配置”页面,确认“CC攻击防护”的“状态”为“开启”,单击
可切换防护状态,如图1所示。
,进入 - 开启WAF的“CC攻击防护”后,添加CC防护规则,配置“用户限速”模式,输入用户标识,即Cookie字段中的变量名。为了更加有效的标识用户,建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。配置模式如图2所示。
“防护模式”选择“阻断”模式,设置“阻断时长”,能够在攻击被拦截后,攻击者需额外等待一段时间, 该设置能进一步对攻击者行为进行限制,建议对安全要求非常高的用户设置。
- 路径:CC防护的URL链接,不包含域名。
- 前缀匹配:以*结尾代表以该路径为前缀。例如,需要防护的路径为“/admin/test.php”或 “/adminabc”,则路径可以填写为“/admin*”。
- 精准匹配:需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”。
- 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
- 路径里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”。
- 限速模式:选择“用户限速”,根据Cookie键值区分单个Web访问者。
- 用户标识:为了更加有效的标识用户,建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。
- 限速频率:单个Web访问者在限速周期内可以正常访问的次数,如果超过该访问次数,Web应用防火墙服务将暂停该Web访问者的访问。
- 防护动作:选择“阻断”模式。该模式可设置“阻断时长”,在攻击被拦截后,攻击者需额外等待一段时间才能访问正常的网页, 该设置能进一步对攻击者行为进行限制,建议对安全要求非常高的用户设置。
- 人机验证:表示在指定时间内访问超过次数限制后弹出验证码,进行人机验证,完成验证后,请求将不受访问限制。
- 阻断:表示在指定时间内访问超过次数限制将直接阻断。
- 仅记录:表示在指定时间内访问超过次数限制将只记录不阻断。
- 阻断页面:可选择“默认设置”或者“自定义”。
- 路径:CC防护的URL链接,不包含域名。
父主题: CC攻击防御最佳实践
