背景信息
CC(HTTP Flood)攻击,是一种专门针对于Web的应用层FLOOD攻击,是ddos的一种。攻击者通过代理服务器或者肉鸡,对目标Web服务器进行海量http request攻击,造成对方服务器资源耗尽。
创建CC防护规则
-
登录云盾安全中心,具体操作,请参见登录云盾安全中心。
-
在控制台右上方,单击安全,选择。在Web应用防火墙授权页面,选择地域并单击角色授权访问。
-
在左侧导航栏,选择。
-
单击添加规则,进入添加CC防护规则页面。
-
设置CC防护规则,单击确定。
参数 说明 规则模式 设置CC防护规则的工作模式,支持观察模式、阻断模式。 - 阻断模式:限制满足访问控制规则的请求。
- 观察模式:对满足访问控制规则的请求信息进行日志记录,不生效限制动作。
规则类型 设置CC防护规则的类型,包含限制满足条件的用户、限制已知的用户,两者区别在于是否为确定的IP、SESSION 。 - 限制满足条件的用户:访问控制规则为设置 触发的条件对满足条件的用户进行限制生效。可配置项包含:触发限制的条件、访问次数的统计范围、限制方式、限制时间以及访问数据统计范围(高级选项)。
- 限制已知的用户:按照设置的限制规则来限制已知的用户,需要配置对应的限制的IP、SESSION列表以及限制的方式,配置完成后按照对应的限制规则生效。
规则名称 设置CC防护规则的名称。 受限制目标的类型 设置限制的访问来源类型:IP、SESSION。 触发限制的条件 当受限制目标的类型选择限制满足条件的用户时,需要设置CC防护规则的触发条件。 访问次数的统计范围 当受限制目标的类型选择限制满足条件的用户时,需要设置CC防护规则保护的访问目的地址。 - 限制用户访问以某个地址为前缀的地址
- 限制用户访问某个地址
- 统计用户访问所有地址
要限制的IP列表、要限制的SESSION列表 当受限制目标的类型选择限制已知的用户时,根据受限制目标的类型,设置需要限制的IP或者SESSION列表,每行设置一个。 限制访问的地址 当受限制目标的类型选择限制已知的用户时,设置CC防护规则保护的访问目的地址。 - 限制用户访问以某个地址为前缀的地址
- 限制用户访问某个地址
- 限制用户访问所有地址
限制方式 如果访问来源触发了限制条件,采取的限制方式。 - 封禁:禁止访问来源访问目的地址。
- 限制频率:限制访问来源访问目的地址的频率。
限制时间 设置限制行为生效的时间。 访问数据统计范围 当受限制目标的类型选择限制满足条件的用户时,高级选项下表示配置访问统计数据源的范围: - 统计全量访问数据:配置全量访问数据后,对于所有经由WAF的满足频率限制条件的用户都会触发限频动作,但对系统性能有一定的消耗。
- 统计TOP访问数据:配置TOP访问数据范围后,限频生效范围仅限于统计信息中的TOP数据(生效范围是实时访问监控中显示的TOP 100数据 ),默认为该配置项对于性能消耗相对较小(当全量数据范围大于TOP 100时)。
管理CC防护规则
-
登录云盾安全中心,具体操作,请参见登录云盾安全中心。
-
在控制台右上方,单击安全,选择。在Web应用防火墙授权页面,选择地域并单击角色授权访问。
-
在左侧导航栏,选择。
-
在规则列表中,管理、编辑已添加的CC防护规则。
- 搜索CC防护规则
单击筛选,在筛选面板中添加过滤条件,可用于快速定位CC规则。
- 启用CC防护规则
如果某个CC防护规则是禁用状态,如果需要重新开启,则选中该规则,选择。
- 禁用CC防护规则
如果某个CC防护规则是启用状态,现在不需要使用了,则选中该规则,选择。
- 删除CC防护规则
如果某个CC防护规则不再需要使用,则选中该规则,选择。
- 搜索CC防护规则
原文链接:https://help.aliyun.com/apsara/enterprise/v_3_15_0_20210816/yundun/enterprise-ascm-user-guide/configure-http-flood-protection-rules.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/20712
