You need to enable JavaScript to run this app.
导航
DDoS防护
  • 文档首页
    • /
  • DDoS防护

设置 CC 防护规则

最近更新时间2023.08.31 15:58:29

首次发布时间2023.08.31 15:58:29

我的收藏

CC 防护规则基于域名生效,为访问网站配置后 DDoS 高防服务会限制对网站特定路径的访问频率,精准识别 CC 攻击,缓解 CC 攻击对服务器的影响。

背景信息

CC 攻击是一种针对网站业务的攻击手段,且具有一定的隐蔽性。CC 攻击一般会模拟正常用户和采用真实 IP 地址进行访问,向服务器发送大量看似合法的请求,造成服务无法正常访问。
如果您需要对防护的域名设置相关访问规则,并对其执行告警、限速、人机验证或拦截动作,可以为其设置 CC 防护规则。

约束及限制

每个域名最多支持配置 20 条 CC 防护规则。

前提条件

您已成功购买 DDoS 高防实例并完成域名业务接入。

操作步骤

  1. 登录DDoS高防控制台

  2. 在页面左侧,选择DDoS高防>防护策略

  3. 单击Web攻击防护

  4. 在页面左侧选择需要配置的域名,或是输入域名进行搜索。

  5. 单击CC防护对应的设置,然后单击添加 CC 防护规则

  6. 配置 CC 防护规则参数。
    图片

    参数

    说明

    规则名称

    防护规则的名称。

    说明

    最多支持输入 20 个字符,不支持特殊字符。

    请求路径

    需要进行 CC 防护规则匹配的网站路径,可以填写具体的某个页面 URL,也可以填写整个网站。

    • 默认填写:
      • 支持某个具体的 URL 地址,例如针对“test.com/abc.html”页面生效,则填写 “/abc.html”即可。
      • 支持含通配符的路径,如 “/test/*”。通配符仅可设置一次。
      • 针对整个网站,则填写 “/*” 即可。
    • 前缀匹配:勾选前缀匹配后,可提供包含某个前缀的路径匹配模式,如 “/test*”。

    说明

    前缀匹配模式下配置“/”路径的规则,其优先级低于默认模式下“/”路径的规则。

    规则开关

    启用或关闭该规则。

    统计对象

    选择需要进行规则匹配的统计对象,支持自定义header、自定义cookie、自定义参数及源 IP 四种类型,并填写配置。

    执行动作

    触发对应限制策略后的处置动作。

    • 告警:请求频率触发了对应频率限制策略后,对该请求进行告警,但不限制。
    • 限速:请求频率触发了对应频率限制策略后,限制该请求访问频率。
    • 人机验证:请求频率触发了对应频率限制策略后,校验请求验证码,验证成功则在限制时长内对该请求加白,连续验证失败三次则在限制时长内拦截该请求。
    • 拦截:请求频率触发了对应频率限制策略后,拦截该请求,拦截时长为限制时长。

    阈值设置

    针对请求路径和统计对象需要设定统计周期和命中阈值。阈值为每对象在统计周期内可以正常访问的次数,及 URL 路径正常访的次数。超过访问次数阈值时,系统会根据预设的执行动作处理访问请求。

    • 每对象访问次数:指当前统计对象对配置路径的请求次数。
    • URL 路径访问次数:指当前配置路径的总请求数,包含但不限于当前配置的统计对象 ,建议配置次数高于“每对象访问次数”。
    • 两者取“且”的关系,即同时满足两个条件时触发处置动作。

    示例:配置策略为“在统计时长 60 秒内,每对象访问超 100 次,且 URL 路径访问超 1000 次”,则每统计对象在 60 秒内访问配置路径超过 100 次,且当前域名总访问次数超出 1000 次时,对当前统计对象执行预配置的处置动作。

    统计时长

    统计访问次数的周期,单位为秒。

    限制时长

    触发拦截执行动作时,拦截该对象访问的时长。

    说明

    当执行动作为告警时,不需要配置限制时长。

    高级条件

    • 勾选现在配置后,单击窗口左下方添加可设置条件关系。
    • 前述条件和高级条件为“且”的关系,放行策略取 IP 地址条件和高级条件的交集。

    说明

    每条规则最多支持设置 50 条匹配条件。

    条件关系

    添加的多条高级条件关系,当前支持 AND 和 OR。

    • AND:所有匹配条件都满足时,才算命中。
    • OR:满足多个条件中的一条时,即算命中。

    条件列表

    • 匹配字段:下拉列表框中选择匹配字段,支持请求协议、请求 URI、请求方法、请求路径、请求参数等字段。
    • 自定义对象:除自定义 Args、自定义 Header、自定义 Cookie 需要设置自定义的对象外,其他匹配字段均保持默认值。
    • 逻辑符:下拉列表框中选择逻辑符,支持大于、大于等于、等于、小于、小于等于、不等于、包含子串、不包含子串等逻辑符。不同的匹配字段适用的逻辑符存在差异,请以实际界面为准。
    • 匹配内容:填写该条规则需要匹配的内容。
    • 操作:删除单条高级条件规则。

  7. 单击确定

结果验证

配置完成后,您可以在 CC 防护列表查看已添加的防护规则数量和信息。

可选操作

您还可以在 CC 防护列表进行以下操作。
图片

  • 关闭规则:单击列表上方开关(图示①)或规则对应开关(图示②)可关闭全部 CC 防护规则或单个 CC 防护规则。
  • 编辑规则:单击目标规则对应的编辑(图示③),可修改规则配置。
  • 删除规则:单击目标规则对应的删除(图示④),可以删除规则。