DDoS 高防 IP 提供针对 CC 攻击的防护功能,策略包括防护等级、清洗阈值、精准防护、CC 频率限制等。业务完成接入后,您可以参考本文介绍的 CC 攻击防护策略配置流程,进行相关的配置,更好地保护您的业务。
说明:
- 清洗阈值是 DDoS 高防的 CC 防护开关,具体的阈值可以设置为正常业务峰值的1.5倍。
- 如果没有设置具体的阈值,高防 IP 将不会触发清洗动作,即 CC 防护为关闭状态。当存在 CC 攻击时,控制台所配置的防护等级、精准防护、CC 频率限制相关策略也不会生效,详细说明请参见 CC 防护开关及清洗阈值。
5. 精准防护策略配置。
攻击发生时,建议通过网络抓包、中间件访问日志、其他防护设备等途径获取攻击请求的具体信息,并结合业务确定攻击特征,完成精准防护策略的配置。
开启精确访问控制后,您可以对常见的 HTTP 字段(例如 URI、UA、Cookie、Referer 及 Accept 等)做条件组合防护策略,筛选访问请求,并对命中条件的请求设置人机校验或丢弃的策略动作。
注意:
- 如果同一条策略中,存在多个 HTTP 字段时,需所有条件都满足才能匹配到此条策略。
- DDoS 高防 IP 可支持 HTTPS 业务的精准防护配置。
字段说明:
字段 | 字段描述 |
---|---|
uri | 访问请求的 URI 地址。 |
ua | 发起访问请求的客户端浏览器标识等相关信息。 |
cookie | 访问请求中的携带的 Cookie 信息。 |
referer | 访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。 |
accept | 发起访问请求的客户端希望接受的数据类型。 |
匹配条件 | 人机校验和丢弃,
|
注意:
- 在配置针对 URI 的 CC 频率限制策略时,需首先配置“/”目录的频率限制,且匹配模式必须设置为等于,配置“/”目录后,才能设置其他目录的 URI 访问频率限制。
- 配置“/”目录的频率限制的具体效果体现为在单位时间内,单个源 IP 请求此域名的“/”目录频率超过阈值,则触发相应的策略动作(人机校验或丢弃)。
- 每个域名在配置“/”目录的频率限制策略后,其他目录的检测时间必须保持一致。
- 当请求 URI 中存在不固定字符串时,可通过匹配模式包含配置来解决,即对 URI 中相同的前缀进行匹配。
字段说明:
字段 | 字段描述 |
---|---|
Cookie | 访问请求中的携带的 Cookie 信息。 |
User-Agent | 发起访问请求的客户端浏览器标识等相关信息。 |
Uri | 访问请求的 URI 地址。 |
频率限制策略 | 人机校验和丢弃,
|
检查条件 | 根据业务情况设置访问频次。建议输入正常访问次数的2倍 - 3倍,例如,网站人平均访问20次/分钟,可配置为40次/分钟 - 60次/分钟,可依据被攻击严重程度调整。 |
惩罚时间 | 最长为一天。 |
本页内容是否解决了您的问题?