配置智能限速防护规则动态防御CC攻击
在日常Web应用防护中,为了限制恶意请求的频率,通常需要手动配置CC攻击防护规则,以防止服务器因大量恶意请求而过载。然而,手动配置的限速阈值往往难以适应业务流量的动态变化,尤其是在业务高峰期或低谷期,固定的限速阈值可能导致防护效果不佳或误拦截正常请求。为避免该类情况,可配置智能限速防护规则。配置后,压力学习模型会根据源站返回的HTTP状态码和时延等来实时地感知源站的压力状态,从而识别源站是否被CC攻击了,WAF再根据异常检测模型实时地检测源站在HTTP协议上的特征的异常行为,然后基于这些异常特征,自动为每个域名配置合适的限速阈值,从而简化配置过程,提升防护效果。
实现原理
配置智能限速防护规则后,所有访问防护域名的请求都会经过该规则检测。
- 如果WAF学习到的基线阈值 x 限速周期<最小访问次数,则限速阈值为最小访问次数。
- 如果WAF学习到的基线阈值 x 限速周期≥最小访问次数,则限速阈值为学习到的基线阈值 x 限速周期。
约束条件
|
功能 |
约束说明 |
|---|---|
|
版本限制 |
仅云模式专业版、企业版支持智能限速防护规则。其他版本可提交工单申请开通。 |
|
接入方式限制 |
仅云模式-CNAME接入支持智能限速防护规则。 |
|
规则生效条件 |
开启智能限速防护前,需开启CC攻击防护规则开关。否则该规则不会生效。 开启CC攻击防护开关即可,无需配置规则。若已配置,其检测优先级高于智能限速防护,开启后后者不影响前者。 |
|
规则生效时间 |
添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面,查询防护事件。 |
|
基线约束 |
|
|
域名数量 |
每个租户只能开启10个域名。 |
前提条件
配置智能限速防护规则
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在左侧导航栏,单击“防护策略”。
- 在防护策略列表,单击目标策略名称,进入目标策略的防护规则配置页面。
您也可以在“网站设置”页面,单击目标域名“防护策略”列的“已开启防护项”后的数字,进入网站绑定的防护策略的规则配置页面。
- 单击“CC攻击防护”配置框,确认已开启CC攻击规则。
:开启状态。 - 单击“智能限速防护”配置框,开启智能限速防护规则。
:开启状态。
- 在规则列表左上角,单击“添加规则”。
- 在“添加规则”面板,添加智能限速防护规则,详细参数说明如表1所示。
表1 智能限速防护参数说明 参数
参数说明
取值样例
防护域名
选择要开启智能限速防护的域名。该域名已绑定规则所属防护策略,否则无法选中。
www.example.com
防护动作
设置请求频率超过限速阈值后,执行的处置动作。
说明:选择防护动作前,需综合考虑当前防护规则的检测优先级,避免高优先级规则因防护动作配置不当,影响低优先级规则的检测。
- 仅记录:请求频率超过限速阈值后,不进行任何处置,仅记录该事件。
- 拦截:请求频率超过限速阈值后,拦截当前请求,并停止后续规则的检测。
拦截
防护等级
设置处置对应请求的等级。可根据实际业务,调整防护等级。
- 宽松:对业务的误报率降低,但漏报率可能会增高。
- 正常:默认防护等级,可满足大多数业务场景。
- 严格:对业务的误报率可能会增高,但漏报率降低。当发现防护规则拦截了您的正常业务时,可调整防护等级。
正常
源IP拦截时长
设置访问次数在限速周期(固定为5秒)内达到限速阈值后,被拦截的时长。仅“防护动作”设置为“拦截”时,配置该参数。
- 取值范围:0到86,400之间。
- 配置建议:建议拦截时长大于限速频率时长。
10
最小限速频率
设置限速周期5秒内允许的最小访问次数。取值范围为1到100,000之间。
智能限速防护的限速阈值,与该值相关。- 如果WAF学习到的基线阈值 x 限速周期<最小访问次数,则限速阈值为最小访问次数。
- 如果WAF学习到的基线阈值 x 限速周期≥最小访问次数,则限速阈值为学习到的基线阈值 x 限速周期。
10
- 输入完成后,单击“确定”。
完成以上配置后,您还可以执行以下操作:
- 查看规则状态:在防护规则列表,查看已添加的规则。此时,“规则状态”默认为“已开启”,即规则开始学习中。
- 关闭规则:如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”。
- 删除或修改规则:您也可以在目标规则“操作”列,单击“删除”或“修改”,删除或修改已添加的防护规则。
- 关闭智能限速防护开关:如果开启该功能后,业务产生异常情况,可关闭智能限速防护开关。当智能限速防护状态关闭后,所有智能限速规则都将会被同步删除。
