您的位置: 新闻资讯 > 行业动态 > 正文

CC 防护配置:守护网络安全的坚实护盾(图文)


来源:mozhe 2024-09-20

CC 攻击是一种常见的网络攻击方式,具有以下特点:
  1. 请求模拟真实有效请求,难以拒绝。攻击者利用真实而分散的 IP 发起攻击,很难溯源。同时,CC 攻击的数据包与正常用户的数据包相似。
  1. 主要针对网页攻击,服务器可以连接且 ping 没问题,但网页无法访问。
CC 攻击对网络安全造成严重危害:
  1. 网站访问速度变慢。CC 攻击会导致目标网站或服务器过载,无法处理正常用户请求,服务功能部分或完全不可用。即使真实用户访问量很少,网站打开速度也会变得异常缓慢。
  1. 被搜索引擎 K 站,排名消失。长时间遭受 CC 攻击会使网站访问异常,搜索引擎无法抓取,关键词排名瞬间消失,网站访问量骤减,转化率降低。
  1. 可能被云服务器提供商清退。CC 攻击占用大量服务器资源,即使服务器性能再好,也经受不住长时间轮番攻击,最终会宕机,严重时还会被云服务商清退,造成更大损失。
  1. 严重影响用户体验。正常访问的网站加载速度超过 2 秒就会消耗用户耐心,导致用户跳出率极高,损害网站品牌形象。
鉴于 CC 攻击的这些危害,CC 防护显得尤为重要。有效的 CC 防护可以保护网络可用性,确保用户的访问体验;防止数据泄露,保护用户隐私和机密信息的安全;维护企业声誉,减少经济损失,增强客户信任感。

二、CC 防护的主要策略

(一)设置清洗阈值


清洗阈值在 CC 防护中起着至关重要的作用,它是 DDoS 高防的 CC 防护开关。具体的阈值可以设置为正常业务峰值的 1.5 倍。例如,根据相关资料,如果没有设置具体的阈值,高防包将不会触发清洗动作,即 CC 防护为关闭状态。当存在 CC 攻击时,控制台所配置的防护等级、精准防护、CC 频率限制相关策略也不会生效。
在设置清洗阈值时,需要注意以下几点:首先,要对业务流量有准确的评估,以便设置合理的阈值。如果阈值设置过高,可能无法及时触发清洗动作,导致攻击对业务造成严重影响;如果阈值设置过低,可能会误触发清洗动作,影响正常用户的访问。其次,随着业务流量的变化,需要定期调整清洗阈值,以确保 CC 防护的有效性。

(二)设置 CC 防护等级


CC 防护等级分为宽松、攻击紧急、适中、严格、自定义五种。不同的防护等级具有不同的特点和适用场景。
宽松等级在攻击紧急时,CC 防护策略较为宽松,可能会存在少部分异常请求透传的风险。适用于对误拦截要求较低,且能承受一定程度异常请求的场景。
适中等级将启动人机校验算法,访问者通过算法验证后才允许访问源站。适用于大多数常规业务场景,在保证一定防护效果的同时,尽量减少对正常用户的影响。
严格等级针对全网每一个访问者都会进行人机识别验证,同时验证算法升级,认证过程更加严格,可能会存在一定误杀。此防护等级只适用于 Web 网站业务,不适用于 API/APP 类业务。
攻击紧急等级当发现源站访问量突然增加,导致源站服务器负载过高或者响应异常时可选择此等级进行防护。
自定义等级则可以根据实际情况进行个性化设置,满足特定业务需求。

(三)设置精准防护策略


通过对常见的 HTTP 字段如 URI、UA、Cookie、Referer 及 Accept 等进行条件组合防护策略,可以筛选访问请求,并对命中条件的请求设置人机校验或丢弃的策略动作。例如,如果发现请求中的 user-agent 异常或畸形,如包含 Python 等自动化工具特征、明显格式错乱的 UA 或者明显不合理的 UA,可以直接封禁请求。对于不带 referer 或 referer 固定且来自于非法站点的请求,也可以封禁。在设置精准防护策略时,需要注意如果同一条策略中存在多个 HTTP 字段时,需所有条件都满足才能匹配到此条策略。同时,DDoS 高防包暂不支持 HTTPS 业务的精准防护配置,DDoS 高防 IP 可支持 HTTPS 业务的精准防护配置。

(四)设置 CC 频率限制


可以通过限制源 IP 的访问频率来进行 CC 防护。例如,可以自定义频率控制规则,检测到单一源 IP 在短期内异常频繁地访问某个页面时,将设置人机校验或丢弃策略。在设置 CC 频率限制时,可以新建防护等级,如宽松、攻击紧急、适中、严格、自定义等级,根据攻击情况进行选择。同时,在配置针对 URI 的 CC 频率限制策略时,需首先配置 “/” 目录的频率限制,且匹配模式必须设置为等于,配置 “/” 目录后,才能设置其他目录的 URI 访问频率限制。配置 “/” 目录的频率限制的具体效果体现为在单位时间内,单个源 IP 请求此域名的 “/” 目录频率超过阈值,则触发相应的策略动作(人机校验或丢弃)。

三、配置示例与最佳实践


(一)腾讯云配置示例
腾讯云 Web 应用防火墙的 CC 防护功能强大。配置示例可实现当单个源 IP 在 10 秒内访问 /test.html超过 10 次后,恶意访问惩罚功能将封禁此源 IP 30 分钟。具体步骤为:登录 Web 应用防火墙控制台,在左侧导航栏中选择【Web 应用防火墙】>【防护设置】,进入防护设置页面后选择需要防护的站点域名,单击【CC 防护设置】,进入恶意访问惩罚配置界面,单击【添加规则】进行规则配置。规则名称可自定义输入,匹配条件设为等于,URI 路径填写具体要防护的地址,如 /test.html,访问频次设为 10 次,10 秒,执行动作可选择封禁访问或人机识别,若选择人机识别,验证失败后将自动封禁访问。惩罚时长可设为 30 分钟。

(二)阿里云配置示例


阿里云 web 防火墙配置防护 CC 攻击有多种方法。对于快速 CC 攻击,可限制单一源 IP 的请求速率、限制并发连接数;对于慢速 CC 攻击,可限制单一请求的超时时间。例如,限制单一源 IP 的请求速率,平均每秒不超过 1 个请求,并且突发不超过 5 个请求:http {limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;...server {...location /limit_req/ {limit_req zone=one burst=5;}}。限制并发连接数,单一源 IP 最大并发数是 100,总的连接数不超过 1000:http {limit_conn_zone $binary_remote_addr zone=one:10m;limit_conn_zone $server_name zone=perserver:10m;...server {...limit_conn one 100;limit_conn perserver 1000;...}。限制单个请求的超时时间:http {...server {...client_header_timeout 60s;//等待客户端发送请求头的超时时间,将这个值改小可以应对慢速发送请求头的 CC 攻击;client_body_timeout 60s;//读取客户端发送请求体的超时时间,将这个值改小可以应对慢速发送请求体的 CC 攻击;keepalive_timeout 75s;//与客户端的连接超时时间,如果连接大量被占用,可以将其改小一些,释放被占用的连接,减轻服务器压力;...}。阿里云的 Web 应用防火墙对网站或者 APP 的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。在进行 CC 自定义防护配置时,先从攻击的日志中分析找到攻击的特征,然后使用工具或者对应的功能对发现的特征进行封禁。例如,通过对 request URL 进行分析,发现异常集中的请求路径,然后对该路径进行完全匹配,配置检测周期和访问次数,如检测 10 秒内单一源 IP 访问 5 次,执行封禁动作,封禁时间可设为 30 分钟甚至更长。

(三)锐速云配置示例


锐速云教你设置 CC 防护。登陆 CDN 控制台,依次进入:服务管理 > 功能配置 > 访问控制 > CC 防护,点击「管理」按钮即可开始配置。点击右上角的【添加防护策略】,设置 URI 匹配规则,例如:/video/*;填写访问频率阈值,例如:500 次 / 分钟,在智能防护模式下才有效;设置 IP 白名单,如果要绕过 CC 防护策略,此处可进行设置;选择 CC 防护模式,包括强制防护、智能防护、暂停防护,当正在遭受攻击时,建议选择强制防护模式。强制防护也就是忽略频率阈值,针对匹配的 URI 直接进行校验,校验通过则放行检验不通过则拒绝访问;智能防护针对匹配到的 URI 进行访问频率阈值的判断,达到阈值则进行校验,校验通过则放行,校验不通过则拒绝访问。暂停防护防护规则失效,不进行频率统计和请求校验。注意在智能防护模式下,访问阈值设置得过低,可能不会触发 JavaScript 校验,建议阈值设置高一些。

(四)kangle 防 CC 设置


以 Kangle 商业版为例,进入管理后台后,点左侧菜单的 “请求控制”,在弹出的页面 BEGIN 下面的第一栏,点 “插入”,进入新的页面。在 name 中输入一个名称,在 “可用的标记模块” 选择 “anti_cc”,网页自动跳转到下一个页面。按照要求填入数值,勾选 white list(白名单)、fix_url(地址栏显示优化)、skip_cache(忽略高速缓存),最后一个 flush 不勾选。根据设置,10 秒内达 8 次请求,就会启用 CC 防护,能完美防护大量常见 CC 模式。如果因为攻击太小,有漏的就启用 0 0 模式,完美 0 漏 CC 验证。

(五)最佳实践总结


综合各平台的配置经验,CC 防护配置在 10 秒内的最佳访问次数需要根据实际业务情况进行调整。一般来说,可以先评估正常业务下的访问频率,然后设置为正常访问次数的 3 倍 - 10 倍。例如,网站人平均访问 20 次 / 分钟,可配置为 60 次 / 分钟 - 200 次 / 分钟,可依据被攻击严重程度调整。同时,在设置访问次数时,要考虑到误封正常用户的风险,尽量选择较为合理的数值,既能有效防护 CC 攻击,又能减少对正常用户的影响。

 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。

热门文章

X

7x24 小时

免费技术支持

15625276999


-->