如果您的網站因遭受惡意CC攻擊導致響應緩慢,可配置頻次控制功能,CDN節點能夠有效識別異常的高頻訪問,快速阻斷訪問該網站的惡意請求,提升網站的安全性。
目前頻次控制功能已暫停申請,推薦您使用DCDN WAF防護(新版)。
啟用頻次控制
- 登入CDN控制台。
- 在左側導覽列,單擊域名管理。
- 在域名管理頁面,單擊目標網域名稱對應的管理。
在指定網域名稱的左側導覽列,單擊安全配置。
單擊频次控制頁簽。
開啟頻次控制設定開關。
在频次控制對話方塊,開啟參數檢測開關,並選擇控制模式。
參數
說明
參數檢測
開啟參數檢測,頻次控制規則中的URI會帶上完整的參數進行匹配。參數檢測僅與URI匹配相關,與自訂規則中的匹配規則無關。
說明參數檢測僅適用於自訂規則。
控制模式
您可以選擇以下控制模式:
正常
預設頻次控制模式。當您的網站流量無明顯異常時,採用該模式,避免被誤殺。
緊急
當您的網站響應緩慢,且流量、CPU、記憶體等指標異常時,採用該模式。
自訂
您可以根據業務需求自訂防護規則,有效識別異常的高頻訪問,邊緣抵禦CC攻擊。配置自訂規則的方法,請參見自訂頻次控制規則。
單擊確定。
自訂頻次控制規則
當控制模式選擇自訂時,需配置自訂規則,其他控制模式不需要配置自訂規則。
最多支援添加5條自訂規則。
單擊自訂規則對應的添加規則。
根據介面提示和下表配置自訂規則。
參數
說明
規則名稱
長度為4~30個字元,支援英文、數字。
同一個網域名稱的規則名稱不可重複。
URI
指定需要防護的具體地址,例如
/register。如果地址中包含了參數,例如/user?action=login,需開啟參數檢測開關才會生效。匹配方式
匹配方式預設按照完全符合、首碼匹配、模糊比對的順序排序並執行,您可以在同類規則中調整優先順序,優先順序按列表順序排序,執行規則時按照優先順序進行執行。
完全符合
即精確匹配,請求地址必須與配置的URI完全一樣才會被統計。
首碼匹配
即包含匹配,只要是請求的URI以此處配置的URI開頭就會被統計。例如,如果設定URI為
/register,則/register.html會被統計。模糊比對
即根據運算式匹配,當請求的URI與此處的運算式匹配就會被統計。支援用英文句號(.)和星號(*)匹配:
英文句號(.):表示匹配任意單個字元。
星號(*):表示匹配任意重複字元。
檢測及阻斷對象
頻次控制支援的檢測對象如下:
源IP
請求Header中指定欄位
訪問網域名稱
請求URL中指定參數
檢測時間長度
指定統計訪問次數的周期,需要和檢測對象配合。檢測時間長度為10s~600s(包含10s和600s)。
匹配規則
您可以單擊添加規則,配置規則的類型、參數、邏輯符和值。
說明頻次控制命中匹配規則的請求次數是基於單節點進行統計,實際攔截策略生效會滯後,建議您增加訪問頻次,以便更快觸發攔截規則。
阻斷類型
指定觸發條件後的操作,可以是封鎖或人機識別。
封鎖
觸發條件後直接中斷連線,所有請求返回403。
人機識別
觸發條件後用重新導向的方式訪問用戶端(返回200狀態代碼),且系統會自動識別正常訪問和攻擊,對於攻擊行為進行封鎖,只有驗證通過後才允許存取。
例如,單個IP在20秒內訪問超過5次,則進行人機識別判斷,在10分鐘內該IP的訪問請求都需要通過人機識別,如果被識別為非法將會被攔截,只有被識別為合法才會允許存取。
阻斷時間長度
指定執行阻斷動作的時間,阻斷時間大於等於60秒。
單擊確定。
自訂規則配置樣本
存在以下異常情境時,您可以參考配置樣本設定,會及時阻斷異常請求。
異常情境 | 檢測對象 | 檢測時間長度 | 匹配規則 | 阻斷類型 | 阻斷時間長度 | 結果 |
4xx/5xx異常 | IP | 10秒 |
| 封鎖 | 10分鐘 | 某訪問IP的返回404狀態代碼佔比大於60%,且訪問次數大於50次時,進行IP封鎖,在10分鐘內斷開該IP的串連,所有請求返回403。 |
QPS異常 | 網域名稱 | 10秒 |
說明 N表示可以取任意值,您可以根據實際業務需求設定。 | 人機識別 | 10分鐘 | 某網域名稱訪問次數大於N次時,進行人機識別判斷,在10分鐘內該網域名稱的訪問請求都需要通過人機識別,如果被識別為非法將會被攔截,只有被識別為合法才會允許存取。 |
相關API
DescribeDomainCcActivityLog:查詢頻次控制規則攔截日誌。