设置 CC 防护规则

CC 防护规则基于域名生效，为访问网站配置后 DDoS 高防服务会限制对网站特定路径的访问频率，精准识别 CC 攻击，缓解 CC 攻击对服务器的影响。

背景信息

CC 攻击是一种针对网站业务的攻击手段，且具有一定的隐蔽性。CC 攻击一般会模拟正常用户和采用真实 IP 地址进行访问，向服务器发送大量看似合法的请求，造成服务无法正常访问。
如果您需要对防护的域名设置相关访问规则，通过请求频率、特定的请求头、来源 IP 地址等特征来过滤存在风险的访问请求，对其执行告警、限速、人机验证或拦截动作，可以为其设置 CC 防护规则。

限制条件

每个域名最多支持配置 20 条 CC 防护规则。

前提条件

您已成功购买 DDoS 高防实例并完成域名业务接入。

操作步骤

1. 登录DDoS高防控制台。

2. 在页面左侧，选择DDoS高防>防护策略。

3. 单击Web攻击防护。

4. 在页面左侧选择需要配置的域名，或是输入域名进行搜索。

5. 单击CC防护对应的设置，然后单击添加规则。

6. 配置 CC 防护规则的名称、请求特征、统计条件、执行动作和优先级。
   

   参数	说明
   规则名称	防护规则的名称，用于标识您的规则。例如 CC1。 说明 支持填写英文、汉字和数字，不支持特殊字符。 长度限制在 20 个字符内。
   请求路径	需要进行 CC 防护规则匹配的网站路径，可以填写具体的某个页面 URL，也可以填写整个网站。 默认填写： 支持某个具体的 URL 地址，例如针对test.com/abc.html页面生效，则填写/abc.html即可。 支持含通配符的路径，如/test/*。通配符仅可使用一次。 针对整个网站，则填写/*即可。 前缀匹配：勾选前缀匹配后，可提供包含某个前缀的路径匹配模式。如设置/test*，则匹配/test.html，/test123.html，/test/page.html等。 说明 默认模式下（即未勾选前缀匹配时）配置的/*路径规则优先级高于前缀匹配模式下配置/*路径的规则。
   高级条件	勾选现在配置后，单击窗口左下方添加可设置条件关系。 前述条件和高级条件为“且”的关系，防护策略取 IP 地址条件和高级条件的交集。 说明 每条规则最多支持设置 50 条匹配条件。
   条件关系	添加的多条高级条件关系，当前支持 AND 和 OR。 AND：所有匹配条件都满足时，才算命中。 OR：满足多个条件中的一条时，即算命中。
   条件列表	设置规则检测匹配的字段和条件，对满足条件的请求执行对应动作。 匹配字段：需要通过设定的字段来识别请求信息。从下拉列表框中选择匹配字段，支持请求协议、请求 URI、请求方法、请求路径、请求参数等字段。 自定义对象：除自定义 Args、自定义 Header、自定义 Cookie 需要设置自定义的对象外，其他匹配字段均保持默认值。 逻辑符：下拉列表框中选择逻辑符，支持大于、大于等于、等于、小于、小于等于、不等于、包含子串、不包含子串等逻辑符。不同的匹配字段适用的逻辑符存在差异，请以实际界面为准。 匹配内容：填写该字段需要匹配的值。 操作：删除单条高级条件规则。
   统计对象	选择需要进行规则匹配的统计对象，支持自定义header、自定义cookie、自定义参数及源 IP。
   阈值设置	统计对象需要设定统计周期和命中阈值。阈值为每对象在统计周期内可以正常访问的次数，及 路径正常访的总次数。超过访问次数阈值时，系统会根据预设的执行动作处理访问请求。 每对象访问次数：指当前统计对象对配置路径的请求次数。 路径访问次数：指当前配置路径的总请求数，包含但不限于当前配置的统计对象 ，建议配置次数高于“每对象访问次数”。 两者取“且”的关系，即同时满足两个条件时触发处置动作。 示例：配置策略为“在统计时长 60 秒内，每对象访问超 100 次，且路径访问超 1000 次”，则每统计对象在 60 秒内访问配置路径超过 100 次，且当前域名总访问次数超出 1000 次时，对当前统计对象执行预配置的处置动作。
   统计时长	统计访问次数的周期，单位为秒。
   执行动作	触发对应限制策略后的处置动作。 仅告警：请求频率触发了对应频率限制策略后，对该请求进行告警，但不限制。 限速：请求频率触发了对应频率限制策略后，限制该请求访问频率。 人机验证：请求频率触发了对应频率限制策略后，校验请求验证码，验证成功则在限制时长内对该请求加白，连续验证失败三次则在限制时长内拦截该请求。 拦截：请求频率触发了对应频率限制策略后，拦截该请求，拦截时长为限制时长。
   限制时长	触发拦截执行动作时，限制或拦截该对象访问的时长。 说明 当执行动作为仅告警时，不需要配置限制时长。
   优先级	规则匹配的优先级，P0 优先级最高，P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。
   规则开关	启用或关闭该规则，默认为开启状态。

7. 单击确定。

配置结果

规则添加完成后，您可以在列表查看规则的配置信息，并进行规则优先级调整、快速添加等操作。

规则生效逻辑

配置 CC 规则后，当请求发生时，DDoS 高防将按照以下逻辑匹配规则。

1. 访问请求先匹配访问路径。
   在路径匹配原则上，遵循精确匹配和最长匹配原则，即请求访问路径同时匹配精确路径和通配路径时，优先命中精确路径。例如：同时存在关于/test.html和/test.*的路径匹配规则，优先匹配/test.html相关的规则设置。
2. 对于命中配置路径的请求，再匹配其请求特征。
3. 最后匹配统计特征，命中规则的请求将执行预先配置的处置动作。

规则组分级

• 一级规则组：CC 规则按照请求路径进行分组，即具有相同请求路径的 CC 规则属于同一个一级规则组。
• 二级规则组：在同一个一级规则组下，按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中，规则的优先级不能重复。

调整优先级

您可以通过拖拽顺序调整图标来调整规则的生效优先级。

• 拖拽下图①所示位置，可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件（即请求特征为All）的规则的优先级。
• 拖拽下图②所示位置，可调整二级规则组下单条规则的优先级。

快速添加规则

• 单击下图③所示位置，可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。
• 单击下图④所示位置，可快速添加满足相同请求特征（即请求路径和高级条件配置都相同）的 CC 规则。您可以自定义除请求特征外的其他参数。

配置指引

假设您的预期场景如下：对于域名下/test.html的路径，当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时，执行拦截动作，并限制访问 60 秒；在 60 秒内访问超 50 次且路径被访问总次数超 60 次时，执行告警动作。则需要基于该访问路径配置两条 CC 防护规则，参考配置如下。