CC 防护配置：守护网络安全的坚实护盾(图文)

CC 攻击是一种常见的网络攻击方式，具有以下特点：

1. 请求模拟真实有效请求，难以拒绝。攻击者利用真实而分散的 IP 发起攻击，很难溯源。同时，CC 攻击的数据包与正常用户的数据包相似。

2. 主要针对网页攻击，服务器可以连接且 ping 没问题，但网页无法访问。

CC 攻击对网络安全造成严重危害：

1. 网站访问速度变慢。CC 攻击会导致目标网站或服务器过载，无法处理正常用户请求，服务功能部分或完全不可用。即使真实用户访问量很少，网站打开速度也会变得异常缓慢。

2. 被搜索引擎 K 站，排名消失。长时间遭受 CC 攻击会使网站访问异常，搜索引擎无法抓取，关键词排名瞬间消失，网站访问量骤减，转化率降低。

3. 可能被云服务器提供商清退。CC 攻击占用大量服务器资源，即使服务器性能再好，也经受不住长时间轮番攻击，最终会宕机，严重时还会被云服务商清退，造成更大损失。

4. 严重影响用户体验。正常访问的网站加载速度超过 2 秒就会消耗用户耐心，导致用户跳出率极高，损害网站品牌形象。

鉴于 CC 攻击的这些危害，CC 防护显得尤为重要。有效的 CC 防护可以保护网络可用性，确保用户的访问体验；防止数据泄露，保护用户隐私和机密信息的安全；维护企业声誉，减少经济损失，增强客户信任感。

二、CC 防护的主要策略

（一）设置清洗阈值

清洗阈值在 CC 防护中起着至关重要的作用，它是 DDoS 高防的 CC 防护开关。具体的阈值可以设置为正常业务峰值的 1.5 倍。例如，根据相关资料，如果没有设置具体的阈值，高防包将不会触发清洗动作，即 CC 防护为关闭状态。当存在 CC 攻击时，控制台所配置的防护等级、精准防护、CC 频率限制相关策略也不会生效。
在设置清洗阈值时，需要注意以下几点：首先，要对业务流量有准确的评估，以便设置合理的阈值。如果阈值设置过高，可能无法及时触发清洗动作，导致攻击对业务造成严重影响；如果阈值设置过低，可能会误触发清洗动作，影响正常用户的访问。其次，随着业务流量的变化，需要定期调整清洗阈值，以确保 CC 防护的有效性。

（二）设置 CC 防护等级

CC 防护等级分为宽松、攻击紧急、适中、严格、自定义五种。不同的防护等级具有不同的特点和适用场景。
宽松等级在攻击紧急时，CC 防护策略较为宽松，可能会存在少部分异常请求透传的风险。适用于对误拦截要求较低，且能承受一定程度异常请求的场景。
适中等级将启动人机校验算法，访问者通过算法验证后才允许访问源站。适用于大多数常规业务场景，在保证一定防护效果的同时，尽量减少对正常用户的影响。
严格等级针对全网每一个访问者都会进行人机识别验证，同时验证算法升级，认证过程更加严格，可能会存在一定误杀。此防护等级只适用于 Web 网站业务，不适用于 API/APP 类业务。
攻击紧急等级当发现源站访问量突然增加，导致源站服务器负载过高或者响应异常时可选择此等级进行防护。
自定义等级则可以根据实际情况进行个性化设置，满足特定业务需求。

（三）设置精准防护策略

通过对常见的 HTTP 字段如 URI、UA、Cookie、Referer 及 Accept 等进行条件组合防护策略，可以筛选访问请求，并对命中条件的请求设置人机校验或丢弃的策略动作。例如，如果发现请求中的 user-agent 异常或畸形，如包含 Python 等自动化工具特征、明显格式错乱的 UA 或者明显不合理的 UA，可以直接封禁请求。对于不带 referer 或 referer 固定且来自于非法站点的请求，也可以封禁。在设置精准防护策略时，需要注意如果同一条策略中存在多个 HTTP 字段时，需所有条件都满足才能匹配到此条策略。同时，DDoS 高防包暂不支持 HTTPS 业务的精准防护配置，DDoS 高防 IP 可支持 HTTPS 业务的精准防护配置。

（四）设置 CC 频率限制

可以通过限制源 IP 的访问频率来进行 CC 防护。例如，可以自定义频率控制规则，检测到单一源 IP 在短期内异常频繁地访问某个页面时，将设置人机校验或丢弃策略。在设置 CC 频率限制时，可以新建防护等级，如宽松、攻击紧急、适中、严格、自定义等级，根据攻击情况进行选择。同时，在配置针对 URI 的 CC 频率限制策略时，需首先配置 “/” 目录的频率限制，且匹配模式必须设置为等于，配置 “/” 目录后，才能设置其他目录的 URI 访问频率限制。配置 “/” 目录的频率限制的具体效果体现为在单位时间内，单个源 IP 请求此域名的 “/” 目录频率超过阈值，则触发相应的策略动作（人机校验或丢弃）。

三、配置示例与最佳实践

（一）腾讯云配置示例
腾讯云 Web 应用防火墙的 CC 防护功能强大。配置示例可实现当单个源 IP 在 10 秒内访问 /test.html超过 10 次后，恶意访问惩罚功能将封禁此源 IP 30 分钟。具体步骤为：登录 Web 应用防火墙控制台，在左侧导航栏中选择【Web 应用防火墙】>【防护设置】，进入防护设置页面后选择需要防护的站点域名，单击【CC 防护设置】，进入恶意访问惩罚配置界面，单击【添加规则】进行规则配置。规则名称可自定义输入，匹配条件设为等于，URI 路径填写具体要防护的地址，如 /test.html，访问频次设为 10 次，10 秒，执行动作可选择封禁访问或人机识别，若选择人机识别，验证失败后将自动封禁访问。惩罚时长可设为 30 分钟。

（二）阿里云配置示例

阿里云 web 防火墙配置防护 CC 攻击有多种方法。对于快速 CC 攻击，可限制单一源 IP 的请求速率、限制并发连接数；对于慢速 CC 攻击，可限制单一请求的超时时间。例如，限制单一源 IP 的请求速率，平均每秒不超过 1 个请求，并且突发不超过 5 个请求：http {limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;...server {...location /limit_req/ {limit_req zone=one burst=5;}}。限制并发连接数，单一源 IP 最大并发数是 100，总的连接数不超过 1000：http {limit_conn_zone $binary_remote_addr zone=one:10m;limit_conn_zone $server_name zone=perserver:10m;...server {...limit_conn one 100;limit_conn perserver 1000;...}。限制单个请求的超时时间：http {...server {...client_header_timeout 60s;//等待客户端发送请求头的超时时间，将这个值改小可以应对慢速发送请求头的 CC 攻击；client_body_timeout 60s;//读取客户端发送请求体的超时时间，将这个值改小可以应对慢速发送请求体的 CC 攻击；keepalive_timeout 75s;//与客户端的连接超时时间，如果连接大量被占用，可以将其改小一些，释放被占用的连接，减轻服务器压力；...}。阿里云的 Web 应用防火墙对网站或者 APP 的业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器。在进行 CC 自定义防护配置时，先从攻击的日志中分析找到攻击的特征，然后使用工具或者对应的功能对发现的特征进行封禁。例如，通过对 request URL 进行分析，发现异常集中的请求路径，然后对该路径进行完全匹配，配置检测周期和访问次数，如检测 10 秒内单一源 IP 访问 5 次，执行封禁动作，封禁时间可设为 30 分钟甚至更长。

（三）锐速云配置示例

锐速云教你设置 CC 防护。登陆 CDN 控制台，依次进入：服务管理 > 功能配置 > 访问控制 > CC 防护，点击「管理」按钮即可开始配置。点击右上角的【添加防护策略】，设置 URI 匹配规则，例如：/video/*；填写访问频率阈值，例如：500 次 / 分钟，在智能防护模式下才有效；设置 IP 白名单，如果要绕过 CC 防护策略，此处可进行设置；选择 CC 防护模式，包括强制防护、智能防护、暂停防护，当正在遭受攻击时，建议选择强制防护模式。强制防护也就是忽略频率阈值，针对匹配的 URI 直接进行校验，校验通过则放行检验不通过则拒绝访问；智能防护针对匹配到的 URI 进行访问频率阈值的判断，达到阈值则进行校验，校验通过则放行，校验不通过则拒绝访问。暂停防护防护规则失效，不进行频率统计和请求校验。注意在智能防护模式下，访问阈值设置得过低，可能不会触发 JavaScript 校验，建议阈值设置高一些。

（四）kangle 防 CC 设置

以 Kangle 商业版为例，进入管理后台后，点左侧菜单的 “请求控制”，在弹出的页面 BEGIN 下面的第一栏，点 “插入”，进入新的页面。在 name 中输入一个名称，在 “可用的标记模块” 选择 “anti_cc”，网页自动跳转到下一个页面。按照要求填入数值，勾选 white list（白名单）、fix_url（地址栏显示优化）、skip_cache（忽略高速缓存），最后一个 flush 不勾选。根据设置，10 秒内达 8 次请求，就会启用 CC 防护，能完美防护大量常见 CC 模式。如果因为攻击太小，有漏的就启用 0 0 模式，完美 0 漏 CC 验证。

（五）最佳实践总结

综合各平台的配置经验，CC 防护配置在 10 秒内的最佳访问次数需要根据实际业务情况进行调整。一般来说，可以先评估正常业务下的访问频率，然后设置为正常访问次数的 3 倍 - 10 倍。例如，网站人平均访问 20 次 / 分钟，可配置为 60 次 / 分钟 - 200 次 / 分钟，可依据被攻击严重程度调整。同时，在设置访问次数时，要考虑到误封正常用户的风险，尽量选择较为合理的数值，既能有效防护 CC 攻击，又能减少对正常用户的影响。

 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。