更新时间:2024-05-28 GMT+08:00
分享

CC攻击常见场景防护配置

本文介绍了基于Web应用防火墙的相关功能给出具体的CC攻击场景的防护策略,帮助您有针对性的防御CC攻击。

概述

您可以从以下不同的CC攻击防护场景中选择贴近您自身实际需求的场景,了解相关的防护设置:

大流量高频CC攻击

在大规模CC攻击中,单台傀儡机发包的速率往往远超过正常用户的请求频率。针对这种场景,直接对请求源IP设置限速规则是最有效的办法。建议您使用CC攻击的基于IP限速的模式,具体请参见通过IP限速限制网站访问频率

配置示例:您可以配置以下CC规则,当一个IP在30秒内访问当前域名下任意路径的次数超过1000次,则封禁该IP的请求10个小时。该规则可以作为一般中小型站点的预防性配置。

在实际场景中,您需要根据自身业务需求调整限速模式和触发防护的限速频率,并选择合适的防护动作,以达到更有针对性、更精细化的防护效果。例如,为了预防登录接口受到恶意高频撞库攻击的影响,您可以配置路径(示例:使用“前缀为”逻辑符,将匹配内容设置为/login.php)。

  • “域名聚合统计”:开启后,泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。例如,配置的泛域名为“*.a.com”,会将所有子域名(b.a.com,c.a.com等)的请求一起聚合统计。
  • “全局计数”:仅云模式支持配置该参数。默认为每WAF节点单独计数,开启后本区域所有节点合并计数。

攻击源来自海外或IDC机房IP

CC攻击中很大比例的攻击来源于海外IP和IDC机房IP的情形。

对于面向中国用户的网站,在遭受攻击时可以通过封禁海外访问来缓解攻击压力。推荐您使用WAF的地理位置访问控制功能,封禁中国境外IP地址的访问,具体操作请参见配置地理位置访问控制规则

如果您已经开启了WAF的威胁情报访问控制规则,可以封禁常见IDC库的IP,例如华为、腾讯。详细操作请参见配置威胁情报访问控制

威胁情报访问控制功能现处于公测阶段,如需使用请提交工单申请开通。

请求特征畸形或不合理

由于很多CC攻击请求是攻击者随意构造的,仔细观察日志后,往往会发现这些请求有很多与正常请求不相符的畸形报文特征。常见的畸形报文特征及防护策略:

以下的防护配置是通过WAF的精准访问防护规则实现的,具体的操作请参见配置精准访问防护规则

  • User-agent异常或畸形:例如,包含Python等自动化工具特征、明显格式错乱的UA(例如Mozilla///)、明显不合理的UA(例如www.example.com)。如果存在该请求特征,可以直接封禁请求。

    配置示例:拦截User-agent包含Mozilla///的内容

  • User-agent不合理:例如,对于微信推广的H5页面,正常用户都应该通过微信发起访问,如果UA来自于Windows桌面浏览器(例如MSIE 6.0),则明显是不合理的。如果存在该请求特征,可以直接封禁请求。

    配置示例:拦截User-agent包含MSIE 6.0的内容

  • Referer异常:例如,不带Referer或Referer固定且来自于非法站点,则可以封禁这种请求(访问网站首页或第一次访问页面的情形除外)。针对只能通过某个站内地址跳转访问的URL,您可以从Referer角度分析行为异常,决定是否封禁。

    配置示例:拦截不带Referer的请求

  • Cookie异常:正常用户往往会在请求中带上属于网站本身业务集的一些cookie(第一次访问页面的情形除外)。很多情况下,CC攻击的报文不会携带任何cookie。您可以从这个角度出发,封禁不带cookie的访问请求。

    配置示例:拦截不带Cookie的请求

  • 缺少某些HTTP Header:例如,针对一些业务中需要的认证头等,正常用户的请求会携带,而攻击报文则不会。

    配置示例:拦截Header不带authorization头的请求。

  • 不正确的请求方法:例如,只有POST请求的接口被大量GET请求攻击,则可以直接封禁GET请求。

    配置示例:拦截GET请求。

分享:

    相关文档

    相关产品