阿里云web防火墻如何配置防護(hù)CC攻擊？

今天我們就來(lái)說(shuō)說(shuō)CC防護(hù)攻擊怎么配置規(guī)則。CC攻擊是DDOS（分布式拒絕服務(wù)）的一種，攻擊者通過(guò)代理服務(wù)器向受害主機(jī)大批量的發(fā)出合法的請(qǐng)求。

CC防護(hù)攻擊緊急模式

當(dāng)網(wǎng)站遇到CC攻擊的時(shí)候，我們一般想到的是第一時(shí)間的恢復(fù)網(wǎng)站的業(yè)務(wù)，但這個(gè)時(shí)候我們可以直接在web應(yīng)用防火墻上開(kāi)啟CC防護(hù)攻擊緊急模式。開(kāi)啟之后，能夠有效的對(duì)客戶端校驗(yàn)。

但是這個(gè)模式有一個(gè)注意的點(diǎn)就是他這個(gè)模式只能對(duì)Web應(yīng)用、網(wǎng)站應(yīng)用及H5頁(yè)面有效。對(duì)于API以及Native的App會(huì)造成大量的誤殺，所以這兩個(gè)應(yīng)用場(chǎng)景下是不支持攻擊緊急模式的。這種情況，我們建議的方案是使用CC自定義防護(hù)進(jìn)行防御。

CC自定義防護(hù)

那么隨著自定義的一個(gè)防御怎么來(lái)配置呢？有兩個(gè)步驟，一是先要從攻擊的日志中分析找到攻擊的特征。然后使用工具或者對(duì)應(yīng)的功能對(duì)我們發(fā)現(xiàn)的特征進(jìn)行封禁，從而達(dá)到保護(hù)的目的。

特征分析

我們先來(lái)看一下CC攻擊有哪些特征，一般情況下面最主要最明顯的特征是某個(gè)URL的請(qǐng)求異常的集中。另外一方面，他請(qǐng)求的源IP異常的集中。第三點(diǎn)，他請(qǐng)求的Refer或者user-agent異常的集中。有了這幾個(gè)概念之后，我們就可以根據(jù)這幾個(gè)概念去分析日志，獲取對(duì)應(yīng)的特征。

我們可以以下面這個(gè)為例，可以看一下對(duì)應(yīng)的時(shí)間段。

從這個(gè)日志的一個(gè)趨勢(shì)來(lái)看，其實(shí)是被打得挺厲害的，峰值時(shí)間最高的時(shí)候有13萬(wàn)的QPS。那我們?cè)趺磥?lái)對(duì)這種攻擊進(jìn)行分析呢？我們采用了SLS的日志服務(wù)，快捷的自動(dòng)化地進(jìn)行分析分析的過(guò)程。

request URL分析

我們通過(guò)對(duì)request URL進(jìn)行分析，可以看到他99%的請(qǐng)求全都請(qǐng)求了//index.php的路徑。這個(gè)請(qǐng)求占這么大的量絕對(duì)是有問(wèn)題的，正常情況下面對(duì)比相同時(shí)間段，其實(shí)不會(huì)有這么大的量出現(xiàn)。那么我們要做的事情就是把惡意的請(qǐng)求給他分辨出來(lái)，然后把它攔截表對(duì)他進(jìn)行自定義的CC防護(hù)。

規(guī)則配置

配置規(guī)則的時(shí)候，對(duì)這個(gè)URL進(jìn)行完全匹配，然后配置我們檢測(cè)的周期是十秒或者五秒，然后對(duì)他進(jìn)行的檢測(cè)的次數(shù)，在這個(gè)時(shí)間范圍內(nèi)他訪問(wèn)的次數(shù)十次或5次。然后對(duì)應(yīng)的主端動(dòng)作是可以是封禁，也可以是人機(jī)識(shí)別。最后是他封禁的時(shí)間，可以封禁他三十分鐘甚至更長(zhǎng)。我的配置是采用封禁的策略，在十秒內(nèi)訪問(wèn)五次就直接對(duì)他進(jìn)行封禁的一個(gè)動(dòng)作，從而達(dá)到對(duì)網(wǎng)站業(yè)務(wù)的一個(gè)防護(hù)。

這里可以看到還有一個(gè)是人機(jī)識(shí)別的阻斷類型，人機(jī)識(shí)別它是對(duì)客戶端的請(qǐng)求進(jìn)行一個(gè)腳印的一個(gè)過(guò)程，它會(huì)返回給客戶端一串特殊的代碼，可以理解為JS的代碼，讓客戶端去執(zhí)行。

如果能夠正常的執(zhí)行成功，那么說(shuō)明這個(gè)客戶端是一個(gè)真實(shí)的客戶端。校驗(yàn)成功過(guò)后，我們對(duì)他進(jìn)行加白，讓他能夠正常訪問(wèn)。如果不能執(zhí)行，那么這個(gè)客戶端我們不認(rèn)為他是一個(gè)正常的客戶端，會(huì)把他拉黑一段時(shí)間。這個(gè)時(shí)間就是我們配置上配的那個(gè)時(shí)間。

需要注意，在WAF前面如果有高防或者CDN的場(chǎng)景下，我們不建議使用封禁的策略，建議使用人機(jī)識(shí)別的策略。

經(jīng)過(guò)這段配置，其實(shí)我們的網(wǎng)站業(yè)務(wù)能夠得到一定的緩解，如果不能緩解的話，可以根據(jù)我們上面配置的一個(gè)策略進(jìn)行調(diào)整。由松到緊配置僅一點(diǎn)達(dá)到緩解業(yè)務(wù)的一個(gè)效果。

IP分析

得到一定緩解之后，我們繼續(xù)分析一只去分析更加精確的攻擊特征加以保護(hù)，提高我們防護(hù)的效果。

我們先看一下源IP是否有什么特征，我們可以源IP分布沒(méi)有什么特征，沒(méi)有在幾個(gè)段里面，然后去查市里面。其實(shí)各個(gè)市都有，也沒(méi)有市和省的維度，那這兩個(gè)不能作為一個(gè)明顯的一個(gè)特征去做防護(hù)。

refer或者user-agent分析

那么第三個(gè)我們?nèi)ネㄟ^(guò)refer或者user-agent去看，通過(guò)refer去看的時(shí)候，我這邊就不說(shuō)了，因?yàn)闆](méi)有特別明顯的特征，但是我們?cè)偃タ磚ser-agent的時(shí)候，我們發(fā)現(xiàn)99%的請(qǐng)求都是來(lái)自于microsoft和Firefox瀏覽器的請(qǐng)求。

這個(gè)訪問(wèn)比例與我們請(qǐng)求的request，index.php的請(qǐng)求比例是非常接近的，然后我們拿著這個(gè)user-agent去對(duì)比前一天相同時(shí)間段的請(qǐng)求，是否有這個(gè)user-agent。

前一天的相同時(shí)間段下沒(méi)有出現(xiàn)過(guò)類似這樣的一個(gè)UA。那么我們認(rèn)為當(dāng)前時(shí)間段出現(xiàn)這個(gè)UA的請(qǐng)求是異常的，是惡意的。那么我們針對(duì)這個(gè)UA進(jìn)行防護(hù)的時(shí)候，我們使用WAF的精準(zhǔn)防護(hù)，控制精準(zhǔn)的對(duì)這個(gè)UA進(jìn)行配置阻斷。

WAF的精準(zhǔn)防護(hù)配置

我們的配置方式是為了更加準(zhǔn)確而使用兩個(gè)條件，一個(gè)是user-agent，讓它包含F(xiàn)irefox，另外一個(gè)是URL包含上述所說(shuō)的index.php，同時(shí)滿足這兩個(gè)條件的，那我們濟(jì)南市網(wǎng)站建設(shè)同時(shí)對(duì)他進(jìn)行阻斷的操作。

通過(guò)這種方式能夠有效的將所有惡意的請(qǐng)求排除在外。真正回到原站的請(qǐng)求都是我們判斷是可信的一個(gè)請(qǐng)求，從而達(dá)到防護(hù)的效果。

網(wǎng)頁(yè)名稱：阿里云web防火墻如何配置防護(hù)CC攻擊？
文章起源：http://www.muchs.cn/news18/253118.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、網(wǎng)站營(yíng)銷、軟件開(kāi)發(fā)、自適應(yīng)網(wǎng)站、域名注冊(cè)、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)