You need to enable JavaScript to run this app.
导航
设置 CC 防护规则
最近更新时间:2024.04.15 10:37:43首次发布时间:2023.08.31 15:58:29

CC 防护规则基于域名生效,为访问网站配置后 DDoS 高防服务会限制对网站特定路径的访问频率,精准识别 CC 攻击,缓解 CC 攻击对服务器的影响。

背景信息

CC 攻击是一种针对网站业务的攻击手段,且具有一定的隐蔽性。CC 攻击一般会模拟正常用户和采用真实 IP 地址进行访问,向服务器发送大量看似合法的请求,造成服务无法正常访问。
如果您需要对防护的域名设置相关访问规则,通过请求频率、特定的请求头、来源 IP 地址等特征来过滤存在风险的访问请求,对其执行告警、限速、人机验证或拦截动作,可以为其设置 CC 防护规则。

限制条件

每个域名最多支持配置 20 条 CC 防护规则。

前提条件

您已成功购买 DDoS 高防实例并完成域名业务接入。

操作步骤

  1. 登录DDoS高防控制台

  2. 在页面左侧,选择DDoS高防>防护策略

  3. 单击Web攻击防护

  4. 在页面左侧选择需要配置的域名,或是输入域名进行搜索。

  5. 单击CC防护对应的设置,然后单击添加规则

  6. 配置 CC 防护规则的名称、请求特征、统计条件、执行动作和优先级。
    图片

    参数

    说明

    规则名称

    防护规则的名称,用于标识您的规则。例如 CC1

    说明

    • 支持填写英文、汉字和数字,不支持特殊字符。
    • 长度限制在 20 个字符内。

    请求路径

    需要进行 CC 防护规则匹配的网站路径,可以填写具体的某个页面 URL,也可以填写整个网站。

    • 默认填写:
      • 支持某个具体的 URL 地址,例如针对test.com/abc.html页面生效,则填写/abc.html即可。
      • 支持含通配符的路径,如/test/*。通配符仅可使用一次。
      • 针对整个网站,则填写/*即可。
    • 前缀匹配:勾选前缀匹配后,可提供包含某个前缀的路径匹配模式。如设置/test*,则匹配/test.html/test123.html/test/page.html等。

    说明

    默认模式下(即未勾选前缀匹配时)配置的/*路径规则优先级高于前缀匹配模式下配置/*路径的规则。

    高级条件

    • 勾选现在配置后,单击窗口左下方添加可设置条件关系。
    • 前述条件和高级条件为“且”的关系,防护策略取 IP 地址条件和高级条件的交集。

    说明

    每条规则最多支持设置 50 条匹配条件。

    条件关系

    添加的多条高级条件关系,当前支持 AND 和 OR。

    • AND:所有匹配条件都满足时,才算命中。
    • OR:满足多个条件中的一条时,即算命中。

    条件列表

    设置规则检测匹配的字段和条件,对满足条件的请求执行对应动作。

    • 匹配字段:需要通过设定的字段来识别请求信息。从下拉列表框中选择匹配字段,支持请求协议、请求 URI、请求方法、请求路径、请求参数等字段。
    • 自定义对象:除自定义 Args、自定义 Header、自定义 Cookie 需要设置自定义的对象外,其他匹配字段均保持默认值。
    • 逻辑符:下拉列表框中选择逻辑符,支持大于、大于等于、等于、小于、小于等于、不等于、包含子串、不包含子串等逻辑符。不同的匹配字段适用的逻辑符存在差异,请以实际界面为准。
    • 匹配内容:填写该字段需要匹配的值。
    • 操作:删除单条高级条件规则。

    统计对象

    选择需要进行规则匹配的统计对象,支持自定义header、自定义cookie、自定义参数及源 IP。

    阈值设置

    统计对象需要设定统计周期和命中阈值。阈值为每对象在统计周期内可以正常访问的次数,及 路径正常访的总次数。超过访问次数阈值时,系统会根据预设的执行动作处理访问请求。

    • 每对象访问次数:指当前统计对象对配置路径的请求次数。
    • 路径访问次数:指当前配置路径的总请求数,包含但不限于当前配置的统计对象 ,建议配置次数高于“每对象访问次数”。
    • 两者取“且”的关系,即同时满足两个条件时触发处置动作。

    示例:配置策略为“在统计时长 60 秒内,每对象访问超 100 次,且路径访问超 1000 次”,则每统计对象在 60 秒内访问配置路径超过 100 次,且当前域名总访问次数超出 1000 次时,对当前统计对象执行预配置的处置动作。

    统计时长

    统计访问次数的周期,单位为秒。

    执行动作

    触发对应限制策略后的处置动作。

    • 仅告警:请求频率触发了对应频率限制策略后,对该请求进行告警,但不限制。
    • 限速:请求频率触发了对应频率限制策略后,限制该请求访问频率。
    • 人机验证:请求频率触发了对应频率限制策略后,校验请求验证码,验证成功则在限制时长内对该请求加白,连续验证失败三次则在限制时长内拦截该请求。
    • 拦截:请求频率触发了对应频率限制策略后,拦截该请求,拦截时长为限制时长。

    限制时长

    触发拦截执行动作时,限制或拦截该对象访问的时长。

    说明

    当执行动作为仅告警时,不需要配置限制时长。

    优先级

    规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。

    规则开关

    启用或关闭该规则,默认为开启状态。

  7. 单击确定

配置结果

规则添加完成后,您可以在列表查看规则的配置信息,并进行规则优先级调整、快速添加等操作。

规则生效逻辑

配置 CC 规则后,当请求发生时,DDoS 高防将按照以下逻辑匹配规则。

  1. 访问请求先匹配访问路径。
    在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html/test.*的路径匹配规则,优先匹配/test.html相关的规则设置。
  2. 对于命中配置路径的请求,再匹配其请求特征。
  3. 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。

规则组分级

  • 一级规则组:CC 规则按照请求路径进行分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。
  • 二级规则组:在同一个一级规则组下,按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中,规则的优先级不能重复。

调整优先级

您可以通过拖拽顺序调整图标来调整规则的生效优先级。

  • 拖拽下图①所示位置,可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件(即请求特征为All)的规则的优先级。
  • 拖拽下图②所示位置,可调整二级规则组下单条规则的优先级。

快速添加规则

  • 单击下图③所示位置,可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。
  • 单击下图④所示位置,可快速添加满足相同请求特征(即请求路径和高级条件配置都相同)的 CC 规则。您可以自定义除请求特征外的其他参数。

图片

配置指引

假设您的预期场景如下:对于域名下/test.html的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。

规则一

规则二

规则名称

自定义

自定义

请求路径

/test.html

/test.html

统计对象

源 IP

源 IP

阈值设置

每对象访问超 500 次,且请求路径访问超 600 次。

每对象访问超 50 次,且请求路径访问超 60 次。

统计时长

60 秒

60 秒

执行动作

拦截

告警

限制时长

60 秒

-

优先级

P0

P1