DDoS 高防 IP 提供针对 CC 攻击的防护功能,策略包括防护等级、清洗阈值、精准防护、CC 频率限制等。业务完成接入后,您可以参考本文介绍的 CC 攻击防护策略配置流程,进行相关的配置,更好地保护您的业务。
配置步骤
1. 登录 DDoS 防护(新版)控制台,在左侧导航中,单击防护策略 > CC 防护。
2. 在左边的列表选中高防 IP 的 ID 下面的域名,如212.64.xx.xx bgpip-000002je > http:80 > www.xxx.com"。
3. CC 防护开关及清洗阈值。在右侧选择 CC 防护开关及清洗阈值卡片,单击
说明:
清洗阈值是 DDoS 高防的 CC 防护开关,具体的阈值可以设置为正常业务峰值的1.5倍。
如果没有设置具体的阈值,高防 IP 将不会触发清洗动作,即 CC 防护为关闭状态。当存在 CC 攻击时,控制台所配置的防护等级、精准防护、CC 频率限制相关策略也不会生效,详细说明请参见 CC 防护开关及清洗阈值。
4. 精准防护策略配置。
攻击发生时,建议通过网络抓包、中间件访问日志、其他防护设备等途径获取攻击请求的具体信息,并结合业务确定攻击特征,完成精准防护策略的配置。
开启精确访问控制后,您可以对常见的 HTTP 字段(例如 URI、UA、Cookie、Referer 及 Accept 等)做条件组合防护策略,筛选访问请求,并对命中条件的请求设置人机校验或丢弃的策略动作。
4.1 在精准防护卡片中,单击设置,进入频率限制规则列表。
4.2 单击新建,创建精准防护规则,填写相关字段,填写完成后,单击确定即可。详细配置说明,请参见 精准防护。
注意:
如果同一条策略中,存在多个 HTTP 字段时,需所有条件都满足才能匹配到此条策略。
DDoS 高防 IP 可支持 HTTPS 业务的精准防护配置。
字段 | 字段描述 |
uri | 访问请求的 URI 地址。 |
ua | 发起访问请求的客户端浏览器标识等相关信息。 |
cookie | 访问请求中的携带的 Cookie 信息。 |
referer | 访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。 |
accept | 发起访问请求的客户端希望接受的数据类型。 |
匹配条件 | 丢弃:不做人机识别,直接丢弃。 人机校验:采用通过算法进行人机识别。 |
5. CC 频率限制
DDoS 高防为已接入防护的网站业务提供频率控制防护策略,支持限制源 IP 的访问频率。您可以自定义频率控制规则,检测到单一源 IP 在短期内异常频繁地访问某个页面时,将设置人机校验或丢弃策略。
5.1 在 CC 频率限制卡片中,单击设置,进入精准防护规则列表。
5.2 单击新增规则,创建频率控制规则,填写相关字段,单击确定即可。详细配置说明,请参见 CC 频率限制。
注意:
在配置针对 URI 的 CC 频率限制策略时,需首先配置“/”目录的频率限制,且匹配模式必须设置为等于,配置“/”目录后,才能设置其他目录的 URI 访问频率限制。
配置“/”目录的频率限制的具体效果体现为在单位时间内,单个源 IP 请求此域名的“/”目录频率超过阈值,则触发相应的策略动作(人机校验或丢弃)。
每个域名在配置“/”目录的频率限制策略后,其他目录的检测时间必须保持一致。
当请求 URI 中存在不固定字符串时,可通过匹配模式包含配置来解决,即对 URI 中相同的前缀进行匹配。
字段 | 字段描述 |
Cookie | 访问请求中的携带的 Cookie 信息。 |
User-Agent | 发起访问请求的客户端浏览器标识等相关信息。 |
Uri | 访问请求的 URI 地址。 |
频率限制策略 | 丢弃:不做人机识别,直接丢弃。 人机校验:采用通过算法进行人机识别。 |
检查条件 | 根据业务情况设置访问频次。建议输入正常访问次数的2倍 - 3倍,例如,网站人平均访问20次/分钟,可配置为40次/分钟 - 60次/分钟,可依据被攻击严重程度调整。 |
惩罚时间 | 最长为一天。 |