華為云CC攻擊防御最佳實(shí)踐：基于Cookie字段的配置

對(duì)于有些網(wǎng)站，源IP無(wú)法精準(zhǔn)獲取。例如：存在未在header中插入“X-Forwarded-For”字段的Proxy或其他原因，建議使用配置Cookie字段實(shí)現(xiàn)用戶標(biāo)識(shí)。

攻擊案例：

競(jìng)爭(zhēng)對(duì)手控制數(shù)臺(tái)主機(jī)，與大多普通訪客一樣，共用同一IP，或通過(guò)代理頻繁更換源IP，持續(xù)向網(wǎng)站“www.hwexample.com”發(fā)起HTTP Post請(qǐng)求，網(wǎng)站并無(wú)較大的負(fù)載能力，網(wǎng)站連接數(shù)、帶寬等資源均被該攻擊者大量占用，正常用戶無(wú)法訪問(wèn)網(wǎng)站，最終競(jìng)爭(zhēng)力急劇下降。

防護(hù)措施：

1.根據(jù)服務(wù)訪問(wèn)請(qǐng)求統(tǒng)計(jì)，判斷網(wǎng)站是否有大量同一IP請(qǐng)求發(fā)生，如果有則說(shuō)明網(wǎng)站很有可能遭受了CC攻擊。

2.登錄華為云控制臺(tái)，將您的網(wǎng)站成功接入Web應(yīng)用防火墻，關(guān)于域名接入的具體操作請(qǐng)參見(jiàn)添加防護(hù)域名。

3.選擇“安全>Web應(yīng)用防火墻>域名配置”，進(jìn)入“域名配置”頁(yè)面，在您需要防護(hù)的域名（網(wǎng)站）所在行的“防護(hù)策略”欄中，單擊“配置防護(hù)策略”，進(jìn)入“防護(hù)配置”頁(yè)面，確認(rèn)“CC攻擊防護(hù)”的“狀態(tài)”為“開(kāi)啟”，單擊可切換防護(hù)狀態(tài)，如圖1所示。

圖1 CC防護(hù)規(guī)則配置框

4.開(kāi)啟WAF的“CC攻擊防護(hù)”后，添加CC防護(hù)規(guī)則，配置“用戶限速”模式，輸入用戶標(biāo)識(shí)，即Cookie字段中的變量名。為了更加有效的標(biāo)識(shí)用戶，建議使用“sessionid”或“token”這類標(biāo)識(shí)網(wǎng)站后臺(tái)頒發(fā)給用戶的唯一標(biāo)識(shí)字段。配置模式如圖2所示。

說(shuō)明：

“防護(hù)模式”選擇“阻斷”模式，設(shè)置“阻斷時(shí)長(zhǎng)”，能夠在攻擊被攔截后，攻擊者需額外等待一段時(shí)間，該設(shè)置能進(jìn)一步對(duì)攻擊者行為進(jìn)行限制，建議對(duì)安全要求非常高的用戶設(shè)置。

圖2添加CC防護(hù)規(guī)則

·路徑：CC防護(hù)的URL鏈接，不包含域名。

前綴匹配：以*結(jié)尾代表以該路徑為前綴。例如，需要防護(hù)的路徑為“/admin/test.php”或“/adminabc”，則路徑可以填寫(xiě)為“/admin*”。

精準(zhǔn)匹配：需要防護(hù)的路徑需要與此處填寫(xiě)的路徑完全相等。例如，需要防護(hù)的路徑為“/admin”，該規(guī)則必須填寫(xiě)為“/admin”。

說(shuō)明：

該路徑不支持正則，僅支持前綴匹配和精準(zhǔn)匹配的邏輯。

路徑里不能含有連續(xù)的多條斜線的配置，如“///admin”，WAF引擎會(huì)將“///”轉(zhuǎn)為“/”。

·限速模式：選擇“用戶限速”，根據(jù)Cookie鍵值區(qū)分單個(gè)Web訪問(wèn)者。

·用戶標(biāo)識(shí)：為了更加有效的標(biāo)識(shí)用戶，建議使用“sessionid”或“token”這類標(biāo)識(shí)網(wǎng)站后臺(tái)頒發(fā)給用戶的唯一標(biāo)識(shí)字段。

·限速頻率：?jiǎn)蝹€(gè)Web訪問(wèn)者在限速周期內(nèi)可以正常訪問(wèn)的次數(shù)，如果超過(guò)該訪問(wèn)次數(shù)，Web應(yīng)用防火墻服務(wù)將暫停該Web訪問(wèn)者的訪問(wèn)。

·防護(hù)動(dòng)作：選擇“阻斷”模式。該模式可設(shè)置“阻斷時(shí)長(zhǎng)”，在攻擊被攔截后，攻擊者需額外等待一段時(shí)間才能訪問(wèn)正常的網(wǎng)頁(yè)，該設(shè)置能進(jìn)一步對(duì)攻擊者行為進(jìn)行限制，建議對(duì)安全要求非常高的用戶設(shè)置。

人機(jī)驗(yàn)證：表示在指定時(shí)間內(nèi)訪問(wèn)超過(guò)次數(shù)限制后彈出驗(yàn)證碼，進(jìn)行人機(jī)驗(yàn)證，完成驗(yàn)證后，請(qǐng)求將不受訪問(wèn)限制。

阻斷：表示在指定時(shí)間內(nèi)訪問(wèn)超過(guò)次數(shù)限制將直接阻斷。

僅記錄：表示在指定時(shí)間內(nèi)訪問(wèn)超過(guò)次數(shù)限制將只記錄不阻斷。

阻斷頁(yè)面：可選擇“默認(rèn)設(shè)置”或者“自定義”。