華為云CC攻擊防御最佳實(shí)踐：基于IP限速的配置

當(dāng)WAF與訪問(wèn)者之間并無(wú)代理設(shè)備時(shí)，通過(guò)源IP來(lái)檢測(cè)攻擊行為較為精確，建議直接使用IP限速的方式進(jìn)行訪問(wèn)頻率限制。

攻擊案例

競(jìng)爭(zhēng)對(duì)手控制數(shù)臺(tái)主機(jī)，持續(xù)向網(wǎng)站“www.hwexample.com”發(fā)起HTTP Post請(qǐng)求，網(wǎng)站并無(wú)較大的負(fù)載能力，網(wǎng)站連接數(shù)、帶寬等資源均被該攻擊者大量占用，正常用戶無(wú)法訪問(wèn)網(wǎng)站，最終競(jìng)爭(zhēng)力急劇下降。

防護(hù)措施

1.根據(jù)服務(wù)訪問(wèn)請(qǐng)求統(tǒng)計(jì)，判斷網(wǎng)站是否有大量單IP請(qǐng)求發(fā)生，如果有則說(shuō)明網(wǎng)站很有可能遭受了CC攻擊。

2.登錄華為云控制臺(tái)，將您的網(wǎng)站成功接入Web應(yīng)用防火墻，關(guān)于域名接入的具體操作請(qǐng)參見(jiàn)添加防護(hù)域名。

3.選擇“安全>Web應(yīng)用防火墻>域名配置”，進(jìn)入“域名配置”頁(yè)面，在您需要防護(hù)的域名（網(wǎng)站）所在行的“防護(hù)策略”欄中，單擊“配置防護(hù)策略”，進(jìn)入“防護(hù)配置”頁(yè)面，確認(rèn)“CC攻擊防護(hù)”的“狀態(tài)”為“開(kāi)啟”，單擊可切換防護(hù)狀態(tài)，如圖1所示。

圖1 CC防護(hù)規(guī)則配置框

4.開(kāi)啟WAF的“CC攻擊防護(hù)”后，添加CC防護(hù)規(guī)則，配置對(duì)指定路徑下的請(qǐng)求進(jìn)行基于IP限速的檢測(cè)，針對(duì)業(yè)務(wù)特性，設(shè)置限速頻率，并配置人機(jī)驗(yàn)證，防止誤攔截正常用戶，針對(duì)網(wǎng)站所有url進(jìn)行防護(hù)，配置如圖2所示。

圖2 IP限速

路徑：CC防護(hù)的URL鏈接，不包含域名。

前綴匹配：以*結(jié)尾代表以該路徑為前綴。例如，需要防護(hù)的路徑為“/admin/test.php”或“/adminabc”，則路徑可以填寫(xiě)為“/admin*”。

精準(zhǔn)匹配：需要防護(hù)的路徑需要與此處填寫(xiě)的路徑完全相等。例如，需要防護(hù)的路徑為“/admin”，該規(guī)則必須填寫(xiě)為“/admin”。

說(shuō)明：

該路徑不支持正則，僅支持前綴匹配和精準(zhǔn)匹配的邏輯。

路徑里不能含有連續(xù)的多條斜線的配置，如“///admin”，WAF引擎會(huì)將“///”轉(zhuǎn)為“/”。

·限速模式：選擇“IP限速”，根據(jù)IP區(qū)分單個(gè)Web訪問(wèn)者。

·限速頻率：?jiǎn)蝹€(gè)Web訪問(wèn)者在限速周期內(nèi)可以正常訪問(wèn)的次數(shù)，如果超過(guò)該訪問(wèn)次數(shù)，Web應(yīng)用防火墻服務(wù)將暫停該Web訪問(wèn)者的訪問(wèn)。

·防護(hù)動(dòng)作：防止誤攔截正常用戶，選擇“人機(jī)驗(yàn)證”。

人機(jī)驗(yàn)證：表示在指定時(shí)間內(nèi)訪問(wèn)超過(guò)次數(shù)限制后彈出驗(yàn)證碼，進(jìn)行人機(jī)驗(yàn)證，完成驗(yàn)證后，請(qǐng)求將不受訪問(wèn)限制。

阻斷：表示在指定時(shí)間內(nèi)訪問(wèn)超過(guò)次數(shù)限制將直接阻斷。

僅記錄：表示在指定時(shí)間內(nèi)訪問(wèn)超過(guò)次數(shù)限制將只記錄不阻斷。

當(dāng)用戶訪問(wèn)超過(guò)限制后需要輸入驗(yàn)證碼才能繼續(xù)訪問(wèn)。

進(jìn)入防護(hù)事件頁(yè)面，可以查看攻擊事件詳情，如圖3所示。

圖3查看CC攻擊事件日志