本文介紹了常見的CC攻擊場景，并結(jié)合阿里云Web應(yīng)用防火墻的相關(guān)功能給出具體的防護(hù)策略和配置，幫助您有針對性地防御CC攻擊。

概述

大流量高頻CC攻擊

在大規(guī)模CC攻擊中，單臺傀儡機(jī)發(fā)包的速率往往遠(yuǎn)超過正常用戶的請求頻率。針對這種場景，直接對請求源設(shè)置限速規(guī)則是最有效的辦法。推薦您使用WAF自定義防護(hù)策略功能的頻率設(shè)置，配置限速策略。

配置示例：您可以配置以下規(guī)則，當(dāng)一個(gè)IP在30秒內(nèi)訪問當(dāng)前域名下任意路徑的次數(shù)超過1000次，則封禁該IP的請求10個(gè)小時(shí)。該規(guī)則可以作為一般中小型站點(diǎn)的預(yù)防性配置。

在實(shí)際場景中，您需要根據(jù)自身業(yè)務(wù)需求調(diào)整防護(hù)路徑和觸發(fā)防護(hù)的閾值，并選擇合適的處置動作，以達(dá)到更有針對性、更精細(xì)化的防護(hù)效果。例如，為了預(yù)防登錄接口受到惡意高頻撞庫攻擊的影響，您可以配置登錄接口的地址（示例：使用前綴匹配邏輯符，將匹配內(nèi)容設(shè)置為/login.php），并設(shè)置60秒內(nèi)超過20次請求則進(jìn)行封禁。

如果您開通了旗艦版的Web應(yīng)用防火墻實(shí)例，則您可以在頻率設(shè)置中使用除IP和Session外的自定義統(tǒng)計(jì)對象字段，設(shè)置更細(xì)粒度、更多維度的限速功能。例如，由于針對IP的封禁會影響NAT出口，您可以使用cookie或者業(yè)務(wù)中自帶的用戶級別參數(shù)作為統(tǒng)計(jì)對象。下圖配置針對業(yè)務(wù)中標(biāo)記用戶的cookie（假設(shè)cookie格式為uid=12345）進(jìn)行統(tǒng)計(jì)，并使用滑塊作為處置動作，避免誤攔截。

攻擊源來自海外或公有云

CC攻擊中經(jīng)常出現(xiàn)很大比例的攻擊來源于海外IP、公有云IP、IDC機(jī)房IP的情形。

對于面向中國用戶的站點(diǎn)，在遭受攻擊時(shí)可以通過封禁海外訪問來緩解攻擊壓力。推薦您使用WAF的地域級IP黑名單功能，封禁中國境外IP地址的訪問。

配置示例：您可以開啟以下爬蟲威脅情報(bào)規(guī)則，封禁騰訊云爬蟲IP的訪問。

請求特征畸形或不合理

對于上述異常的請求特征，您都可以在特征分析的基礎(chǔ)上，使用WAF自定義防護(hù)策略的ACL訪問控制規(guī)則設(shè)置對應(yīng)的封禁策略。

濫刷接口（登錄、注冊、短信、投票等）

對于網(wǎng)頁環(huán)境（包括H5）中的一些關(guān)鍵接口，例如登錄、注冊、投票、短信驗(yàn)證碼等，推薦您使用數(shù)據(jù)風(fēng)控功能進(jìn)行防護(hù)。

數(shù)據(jù)風(fēng)控在關(guān)鍵接口頁面中插入JS代碼，采集用戶在頁面上的操作行為和環(huán)境信息，綜合判斷發(fā)送至關(guān)鍵接口的請求是否來自于真實(shí)的用戶（而不是自動化工具腳本）。數(shù)據(jù)風(fēng)控判定的依據(jù)主要來自于人機(jī)識別的結(jié)果，跟發(fā)送請求的頻率、來源IP沒有關(guān)系，針對一些低頻、分散的攻擊請求有很好的效果。

惡意掃描

App攻擊

針對App攻擊，除上述頻率設(shè)置、地域級IP黑名單、ACL訪問控制等手段，您也可以接入云盾SDK進(jìn)行防護(hù)。

SDK方案通過將SDK集成到App中，對請求進(jìn)行安全簽名和校驗(yàn)，并結(jié)合各種硬件信息，綜合識別請求是否來自于合法的App。只要不是來自于官方App的合法請求，一概攔截。這是一種“白名單”思路，只放行合法的請求，而不用去分析非法請求的特征。

SDK防護(hù)需要開啟App防護(hù)模塊后才可以使用。

惡意爬取

對于很多資訊類網(wǎng)站（例如征信、租房、機(jī)票、小說等），大量的爬蟲往往會造成帶寬增大、負(fù)載飆升等異常，以及數(shù)據(jù)泄露等問題。針對爬蟲問題，如果上述手段不能起到很好的防御效果，推薦您開啟并使用Bot管理模塊，更有針對性地防御爬蟲。

如果您有其他問題，可以聯(lián)系北京志遠(yuǎn)天成阿里云代理商，為您提供一對一專業(yè)全面的技術(shù)服務(wù)，同時(shí)新老阿里云會員，均可享受我公司代理商價(jià)格，歡迎咨詢！