配置CC攻击防护规则防御CC攻击

前提条件

• 已添加防护网站或已新增防护策略。
  • 云模式-CNAME接入的接入方式参见将网站接入WAF防护（云模式-CNAME接入）章节。
  • 云模式-ELB接入的接入方式参见 将网站接入WAF防护（云模式-ELB接入）章节。
  • 独享模式的接入方式参见将网站接入WAF防护（独享模式）章节。
• 如果使用独享WAF，确保独享引擎已升级到最新版本，具体的操作请参见升级独享引擎实例。

约束条件

• 云模式入门版和标准版不支持引用表管理功能。
• 当“逻辑”关系选择“包含任意一个”、“不包含任意一个”、“等于任意一个”、“不等于任意一个”、“前缀为任意一个”、“前缀不为任意一个”、“后缀为任意一个”或者“后缀不为任意一个”时，需要选择引用表，创建引用表的详细操作请参见创建引用表对防护指标进行批量配置。
• 仅云模式的CNAME接入支持配置“全局计数”。
  

  如果您所在地域为华东-上海一、华北-乌兰察布一，且希望为独享模式开启“全局计数”，请提交工单申请开通。

• 使用云模式WAF时，如果WAF前使用了高防、CDN（Content Delivery Network，内容分发网络）、云加速等代理时，建议“限速模式”选择“源限速 > 用户限速”，并勾选“全局计数”。
  

  如果网站在接入WAF前，已经使用了CDN、高防等其他代理服务，WAF收到的访问IP会被分散到各个WAF节点进行流量转发，WAF默认为WAF节点单独计数。因此，WAF针对单个Web访问者的访问次数的计数会分散，所以“限速频率”中访问次数的设置原则如下：

  • 云模式CNAME接入：该模式支持“全局计数”，即支持将已经标识的请求在一个或多个WAF节点上的计数聚合，因此，配置时勾选“全局计数”即可。
  • 独享模式：
    • 一般情况下，该模式暂不支持“全局计数”，因此配置“限速频率”中访问次数应配置为允许单个Web访问者在限速周期内访问网站的次数/WAF节点数。

      例如，WAF节点数（防护该网站的独享引擎实例数）为2，如果您想当单个Web访问者在限速周期内访问网站的次数不能超过1,000次，则“限速频率”中访问次数应配置为1,000除以2，即配置为500。

    • 提交工单申请开通该功能后，该模式支持“全局计数”，即支持将已经标识的请求在一个或多个WAF节点上的计数聚合。在使用该功能前需注意：“全局计数”不是精确数量的限速。在某些情况下，可能会出现延迟（“全局计数”的内部计数器的更新可能要花费几秒钟）。由于这种延迟，过多的请求仍然可能在WAF引擎执行防护动作（如拦截）之前到达源站。
• “云模式-ELB接入”方式不支持“Response Code”、“Response Length”、“Response Time”、“Response Header”和“Response Body”字段，且“云模式-CNAME”仅企业版支持响应字段。
• 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。
• WAF会每分钟输出一条CC攻击日志。

配置CC攻击防护规则

1. 登录管理控制台。
2. 在管理控制台左上角，单击，选择区域或项目。
3. 在页面左上方，单击，选择“安全与合规 > Web应用防火墙 WAF”。
4. 在左侧导航栏，单击“防护策略”。
5. 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
6. 单击目标策略名称，进入目标策略的防护配置页面。
7. 选择“CC攻击防护”配置框，用户可根据自己的需要开启或关闭CC攻击防护策略。
   • ：开启状态。
   • ：关闭状态。

8. 在“CC攻击防护”规则配置列表左上方，单击“添加规则”。
9. 在弹出的对话框中，根据表1配置CC防护规则。

   例如，通过配置CC攻击防护规则实现以下功能：根据Cookie标识的用户字段（例如name），当WAF识别到同一name值的用户在60秒内访问您域名下的URL（例如，/admin*）页面超过10次时，封禁该用户访问目标网址600秒。

   图1 添加CC防护规则
   

   表1 CC防护规则参数说明

   参数	参数说明	取值样例
   规则名称	自定义规则名称。	waftest
   规则描述	可选参数，设置该规则的备注信息。	--
   限速模式	“源限速”：对源端限速，如某IP（或用户）的访问频率超过限速频率，就会对该IP（或用户）的访问限速。 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明： 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：如果用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“http://www.test.com”。 “目的限速”：选择该参数时，可选择以下限速类型进行配置： “策略限速” ：当多个域名共用一个策略时，该策略下对应的所有域名请求次数合并限速(不区分访问IP)；泛域名防护场景时，该泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。 “域名限速”：每个域名单独统计总请求次数，超过设定值则触发防护动作(不区分访问IP)。 “URL限速”：每个URL请求单独统计请求次数，超过设定值则触发防护动作(不区分访问IP)。	--
   用户标识	“限速模式”选择“源限速 > 用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。	name
   域名聚合统计	“限速模式”选择“目的限速 > 策略限速”时，不需要配置此参数。 默认关闭，开启后，泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。例如，配置的泛域名为“*.a.com”，会将所有子域名（b.a.com，c.a.com等）的请求一起聚合统计。	--
   限速条件	配置防护规则要匹配的请求特征。请求一旦命中该特征，WAF则按照配置的规则处置该请求。 至少需要配置一项，本条规则才能生效。配置多个条件时，需同时满足，本条规则才生效。 单击“添加条件”增加新的条件，最多可添加30个条件。 支持添加条件分组。 该功能为公测功能，需提交工单申请开通。 组内生效条件：命中组内其中一个条件，该组条件生效。单击“添加条件”，可增加一个组内限速条件。 组间生效条件： and分组生效：所有and分组同时生效，该组合生效。单击“添加and分组”，可增加一个and分组。 or分组生效：其中一个分组生效，该组合即可生效。单击“添加or分组”，可增加一个or分组。 条件设置参数说明如下： 字段：详细说明，请参见条件字段说明。 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params等字段时，请根据实际需求配置子字段。 须知： 子字段的长度不能超过2048字符。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明： 当“逻辑”关系选择“包含任意一个”、“不包含任意一个”、“等于任意一个”、“不等于任意一个”、“前缀为任意一个”、“前缀不为任意一个”、“后缀为任意一个”或者“后缀不为任意一个”时，需要选择引用表，创建引用表的详细操作请参见创建引用表对防护指标进行批量配置。 内容：输入或者选择条件匹配的内容。 大小写敏感：“字段”配置为“路径”、“User Agent”、“Params”、“Cookie”、“Referer”、“Header”、“Response Header”、“Response Body”时，支持配置大小写敏感。 开启后，系统在检测配置的内容时，将区分大小写。能够帮助系统更准确地识别和处理各种请求，从而有效提升策略的精确度和有效性。	字段：“路径” 逻辑：包含 内容：“/admin/”
   限速频率	单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 “全局计数”：根据不同的限速模式，将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。“IP限速”不能满足针对某个用户进行限速，需要选择“用户限速”或“其他”的Referer限速，此时标识的请求可能会访问到不同的WAF节点，开启全局计数后，将请求访问的一个或多个WAF节点访问量聚合，达到全局统计的目的。 说明： 如果网站在接入WAF前，已经使用了CDN、高防等其他代理服务，WAF收到的访问IP会被分散到各个WAF节点进行流量转发，WAF默认为WAF节点单独计数。因此，WAF针对单个Web访问者的访问次数的计数会分散，所以“限速频率”中访问次数的设置原则如下： 云模式CNAME接入：该模式支持“全局计数”，即支持将已经标识的请求在一个或多个WAF节点上的计数聚合，因此，配置时勾选“全局计数”即可。 独享模式： 一般情况下，该模式暂不支持“全局计数”，因此配置“限速频率”中访问次数应配置为允许单个Web访问者在限速周期内访问网站的次数/WAF节点数。 例如，WAF节点数（防护该网站的独享引擎实例数）为2，如果您想当单个Web访问者在限速周期内访问网站的次数不能超过1,000次，则“限速频率”中访问次数应配置为1,000除以2，即配置为500。 提交工单申请开通该功能后，该模式支持“全局计数”，即支持将已经标识的请求在一个或多个WAF节点上的计数聚合。在使用该功能前需注意：“全局计数”不是精确数量的限速。在某些情况下，可能会出现延迟（“全局计数”的内部计数器的更新可能要花费几秒钟）。由于这种延迟，过多的请求仍然可能在WAF引擎执行防护动作（如拦截）之前到达源站。	10次/60秒
   防护动作	当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 拦截：表示超过“限速频率”将直接拦截。 动态拦截：上一个限速周期内，请求频率超过“限速频率”将被拦截，那么在下一个限速周期内，请求频率超过“放行频率”将被拦截。 仅记录：表示超过“限速频率”将只记录不拦截。 JS挑战：表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则拦截请求。 说明： 请求的Referer跟当前的Host不一致时，JS挑战不生效。 高阶人机验证：表示超过“限速频率”后弹出验证码，进行人机验证。如果验证通过，则在有效期内放行该请求；如果验证不通过，则重新刷新验证码再次进行验证。相比于人机验证，高阶人机验证体验感更好，更安全。 如果要为API接口配置高阶人机验证的防护动作，需要在HTML页面接入SDK，才能正常使用。具体操作，请参见验证码SDK集成说明。 说明： 集成SDK之后，高阶人机验证支持XHR、Fetch异步接口的防护。如果没有集成SDK，仅支持静态页面防护。 “防护动作”设置为“高阶人机验证”前，请确认一个客户端IP的请求只会到达同一台引擎，否则会多次重复认证导致认证无法通过。 客户端完成一次验证之后会获取一个Token，在该Token有效期内的访问都会被允许。为避免攻击者使用该Token重复执行攻击，建议额外配置一条超过一定请求阈值则拦截的策略。	拦截
   Token有效期	“防护动作”选择“JS挑战”或“高阶人机验证”后，Token有效期默认为1,800秒，支持自定义为60~86,400秒。	60秒
   锁定验证	当“防护动作”选择“人机验证”时，需要配置该参数。 当人机验证未通过时，在设定时间内的访问都要进行验证。	300秒
   生效模式 说明： 周期生效、灰度生效为公测功能，需提交工单申请开通。	立即生效：防护规则开启后，规则立即生效。 周期生效：您可以将具体某一时区的每一天的一段时间设置为防护规则的生效时间。 灰度生效：在指定时间段内，客户端的请求触发该规则的生效概率从0%-100% 线性增长。 自定义：自定义规则生效时间段。	立即生效
   放行频率	当“防护动作”选择“动态拦截”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明： 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。	8次/60秒
   拦截方式	当“防护动作”选择“拦截”时，支持两种拦截方式。 攻击惩罚：设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 拦截时长：可设置拦截后恢复正常访问页面的时间。	拦截时长
   拦截时长	当“防护动作”选择“拦截”时，可设置拦截后恢复正常访问页面的时间。	600秒
   拦截页面	当“防护动作”选择“拦截”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的拦截页面。 当选择“自定义”时，返回错误信息由用户自定义。 当选择“重定向”时，根据界面提示配置重定向URL。	自定义
   HTTP返回码	当“拦截页面”选择“自定义”时，支持配置HTTP返回码。	418
   响应标头	当“拦截页面”选择“自定义”时，支持配置响应标头。 单击“添加响应标头字段”，配置响应标头参数及参数值。	-
   页面类型	当“拦截页面”选择“自定义”时，可选择拦截页面的类型“application/json”、“text/html”或者“text/xml”。	text/html
   页面内容	当“拦截页面”选择“自定义”时，可设置自定义返回的内容。	不同页面类型对应的页面内容样式： text/html：<html><body>Forbidden</body></html> application/json：{"msg": "Forbidden"} text/xml：<?xml version="1.0" encoding="utf-8"?><error> <msg>Forbidden</msg></error>

10. 单击“确定”，添加的CC攻击防护规则展示在CC规则列表中。
    • 完成以上配置后，您可以在防护规则列表查看已添加的规则。此时，“规则状态”默认为“已开启”。
    • 如果您暂时不想使该规则生效，可在目标规则“操作”列，单击“关闭”。
    • 如果您不再使用该规则，可在目标规则“操作”列，单击“删除”。
    • 您也可以在目标规则“操作”列，单击“更多 > 修改”或“更多 > 复制”，修改或复制已添加的防护规则。

防护效果验证

假如已添加域名“www.example.com”，且参考表1的取值样例，配置了如图1所示“拦截”防护动作的CC防护规则。可参照以下步骤验证防护效果：

1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。
   • 不能正常访问，参照网站设置章节重新完成域名接入。
   • 能正常访问，执行2。

2. 清理浏览器缓存，在浏览器中访问满足Cookie条件的“http://www.example.com/admin”页面，在60秒内刷新页面10次，正常情况下，在第11次访问该页面时，返回自定义的拦截页面；60秒后刷新目标页面，页面访问正常。

   如果您设置了“人机验证”防护动作，当用户访问超过限制后需要输入验证码才能继续访问。

   图2 人机验证
   

3. 返回Web应用防火墙控制界面，在左侧导航栏，单击“防护事件”，在“防护事件”页面，查看防护域名拦截日志。

配置示例

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证人机验证防护效果。

常见问题

配置“人机验证”CC防护规则后，验证码不能刷新，验证一直不通过，如何处理？