DDoS高防為已接入防護的網站業務提供頻率控制防護,支持限制源IP的訪問頻率,以防御HTTP Flood攻擊(即CC攻擊)。頻率控制防護提供多種防護模式,供您在不同場景下調整使用。您也可以自定義頻率控制規則,限制單一源IP在短期內異常頻繁地訪問某個頁面。
頻率控制防護提供不同的防護模式,允許您根據網站的實時流量異常調整頻率控制策略,具體包括以下模式。除了不同防護模式外,頻率控制防護還支持通過自定義防護規則進行更精確的CC攻擊攔截。您可以為需要重點保護的URL自定義頻率控制策略,限制單一源IP在短期內異常頻繁地訪問某個頁面。
| 防護模式 | 模式說明 |
|---|---|
| 正常(默認) | 網站無明顯流量異常時建議采用此模式。正常模式的頻率控制防護策略相對寬松,可以防御一般的CC攻擊,對于正常請求不會造成誤攔截。 |
| 攻擊緊急 | 當發現網站響應、流量、CPU、內存等指標出現異常時,可切換至此模式。攻擊緊急模式的頻率控制防護策略相對嚴格。相比正常模式,此模式可以防護更為復雜和精巧的CC攻擊,但可能會對少部分正常請求造成誤攔截。 |
| 嚴格 | 嚴格模式的頻率控制防護策略較為嚴格。該模式會對被保護網站的所有訪問請求實行全局級別的人機識別驗證,即針對每個訪問者進行驗證,只有通過認證的訪問者才允許訪問網站。 |
| 超級嚴格 | 超級嚴格模式的頻率控制防護策略非常嚴格。該模式會對被保護網站的所有訪問請求實行全局級別的人機識別驗證,即針對每個訪問者進行驗證,只有通過認證的訪問者才允許訪問網站。相比于嚴格模式,超級嚴格模式所使用的全局算法認證在驗證算法中還增加反調試、反機器驗證等功能。 |
頻率控制防護各模式的防護效果排序依次為:超級嚴格模式 > 嚴格模式 > 攻擊緊急模式 > 正常模式。同時,各防護模式導致誤攔截的可能性排序依次為:超級嚴格模式 > 嚴格模式 > 攻擊緊急模式 > 正常模式。
說明:
- 對于嚴格模式的全局算法認證,如果是真人通過瀏覽器的訪問請求均可以正常響應。但如果被訪問網站的業務是API或原生App應用,將無法正常響應該算法認證,導致網站業務無法正常訪問。
- 對于超級嚴格模式的全局算法認證,如果是真人通過瀏覽器的訪問請求均可以正常響應(可能存在極少部分瀏覽器處理異常導致無法訪問,關閉瀏覽器后再次重試即可正常訪問)。但如果被訪問網站的業務是API或原生App應用,將無法正常響應該算法認證,導致網站業務無法正常訪問。
正常情況下,建議您為已接入防護的域名選擇正常頻率控制防護模式。該模式的防護策略較為寬松,只會針對訪問頻次較大的IP進行封禁。當您的網站遭遇大量HTTP Flood攻擊時,且正常模式的安全防護效果已經無法滿足要求,建議您切換至攻擊緊急模式或嚴格模式。
如果您的網站業務是API或原生App應用,由于無法正常響應嚴格模式中的相關算法認證,無法使用嚴格或超級嚴格模式進行防護。因此,需要通過配置頻率控制防護自定義規則對被攻擊的URL配置針對性的防護策略,攔截攻擊請求。
| 匹配選項 | 說明 |
|---|---|
| 完全匹配 | 如果請求得uri地址與填寫得uri完全相同,則觸發規則,執行對應得操作。注意:填寫得URI如果沒有對應任何邏輯,同樣會觸發規則判斷。如:uri 為/abc ,但是項目中/abc實際業務邏輯不存在。如果請求/abc,該規則同樣觸發。 |
| 前綴匹配 | 如果請求的整個uri地址的前綴包含填寫得uri,則觸發規則,執行對應得操作。如:實際請求的uri為/abcdefc,填寫的uri為/abc.因為/abcdefc 前綴包含/abc,則觸發規則。注意:填寫得URI如果沒有對應任何邏輯,同樣會觸發規則判斷。如:uri 為/abc ,但是項目中/abc實際業務邏輯不存在。如果請求/abc,該規則同樣觸發。 |
| 阻斷類型 | 模式說明 |
|---|---|
| 拒絕 | 丟棄請求,請求不會回源。 |
| 人機識別 | 對請求作人機驗證,如通過驗證,則轉發請求至源站,否則丟棄請求。 |
| 封禁uri | 配合封禁時間,在封禁時間內,該客戶端對 /a 的所有請求,均將被丟棄。 |
| 封禁ip | 配合封禁時間,在封禁時間內,丟棄該客戶端的所有請求。 |
找到要設置頻率控制的域名實例,單擊操作列的設置。
定位到頻率控制設置區域,打開開關,并單擊自定義規則。
為域名設置頻率控制防護規則。
新增規則
單擊列表左上方紅底白字添加規則按鈕。
在新增頻率控制規則對話框,完成規則配置,并單擊確定。
| 參數 | 說明 |
|---|---|
| 規則名稱 | 為該規則命名。 |
| URI | 指定需要防護的具體地址,如/register。支持在地址中包含參數,如/user?action=login。 |
| 匹配規則 |
|
| 檢測時長 | 指定統計訪問次數的周期。需要和單一IP訪問次數配合。 |
| 單一IP訪問次數 | 指定在檢測時長內,允許單個源IP訪問被防護地址的次數。 |
| 阻斷類型 | 指定觸發條件后的操作(封禁、人機識別),以及請求被阻斷后阻斷動作的時長。
|
注意:
填寫的URI如果沒有對應任何邏輯,同樣會觸發規則判斷。如:URI為/abc,但是項目中/abc實際業務邏輯不存在,當請求/abc時,該規則同樣觸發。
成功添加頻率控制自定義規則后,您可以根據需要繼續添加多條規則。客戶端觸發條件被攔截后見到的頁面如下所示。
編輯規則
在規則列表中,定位到要操作的規則,單擊其操作列下的編輯。
在編輯頻率控制規則對話框中,修改規則配置,并單擊確定。規則配置的描述見新增規則。
刪除規則
在規則列表中,定位到要刪除的規則,單擊其操作列下的刪除。
在刪除提示對話框中,單擊確定。
Copyright ? Yisu Cloud Ltd. All Rights Reserved. 2018 版權所有
廣州億速云計算有限公司 粵ICP備17096448號-1
粵公網安備 44010402001142號 增值電信業務經營許可證編號:B1-20181529
計算
安全
數據庫
網絡和加速
AI應用
