操作场景
DDoS 高防包支持 CC 防护功能,当高防包统计的 HTTP 请求量超过设定的 http 请求数阈值时,自动触发 CC 防护。同时,DDoS 高防包还支持 URL 白名单、IP 白名单和 IP 黑名单策略:
白名单中的 URL,其访问请求将无需执行 CC 攻击检测,直接被放行。
白名单中 IP,其 HTTP 访问请求将无需执行 CC 攻击检测,直接被放行。
黑名单中 IP,其 HTTP 访问请求将直接被拒绝。
用户可根据业务特点和防护需求,自定义防护策略实现更精准的 CC 攻击拦截。
操作步骤
1. 登录 DDoS 防护管理控制台,选择 DDoS 高防包 > 防护配置,在 CC 防护页签,选择目标地域和高防包实例,进行 CC 防护配置。
2. 单击CC 防护右侧的
说明:
CC 防护默认关闭。
开启 CC 防护后,才可设置 HTTP 请求数阈值、自定义 CC 防护策略以及黑白名单。
3. 单击 http 请求数阈值右侧的下拉框选择合适的阈值。
4. 单击添加访问控制策略,在添加访问控制策略弹出框中,根据实际业务需求设置以下参数,单击确定完成配置。
说明:
仅在该高防包正在被攻击状态时,自定义策略才会生效。
匹配模式下,每个自定义策略最多可以设置4个策略条件进行特征控制,且多个条件之间是“与”的关系,需要所有条件全部匹配策略才生效。
限速模式下,每个自定义策略只允许设置1条策略条件。
策略名称
输入策略名称,长度为1 - 20字符,不限制字符类型。
模式
匹配模式:匹配到 HTTP 对应字段头的请求,执行拦截或人机识别操作。
限速模式:对源 IP 访问进行限速处理。
策略
当选择匹配模式时,支持从 HTTP 报文的 host 参数、CGI 参数、Referer 和 User-Agent 等多个特征进行组合,组合逻辑包括包含、不包含和等于。最多可以设置4个策略条件进行特征控制,字段描述如下:
匹配字段 | 字段描述 | 适用的逻辑符 |
host | 访问请求的域名。 | 包含、不包含、等于。 |
CGI | 访问请求的 URL 地址。 | 包含、不包含、等于。 |
Referer | 访问请求的来源网址,表示该访问请求是从哪个页面跳转产生的。 | 包含、不包含、等于。 |
User-Agent | 发起访问请求的客户端浏览器标识等相关信息。 | 包含、不包含、等于。 |
当选择限速模式时,对每个源 IP 访问进行限速处理。只允许设置1个策略条件。
5. 单击 URL 白名单、IP 白名单或 IP 黑名单页签,进行黑白名单配置,支持添加、删除。
说明:
DDoS 高防包添加 URL 白名单时,可以带 HTTP 协议头信息,也可以不带 HTTP 协议头信息,但 DDoS 高防包仅支持 HTTP 协议。例如可以填写
http://test.com/index.php或www.test.com/index.php。