功能介绍
CC防护根据访问者的URL,频率、行为等访问特征,智能识别CC攻击,迅速识别CC攻击并进行拦截,在大规模CC攻击时可以避免源站资源耗尽,保证企业网站的正常访问。
什么是CC攻击?
CC攻击是一种恶意网络攻击,旨在通过向目标服务器发送大量的请求,超过其处理能力,从而使其无法正常工作或服务受到严重影响。
前提条件
- 已经订购边缘安全加速平台-安全与加速服务,若未订购,请参见服务开通。
- 在控制台新增域名,请参见添加服务域名。
- 开通免费版或基础版,支持使用CC防护默认策略;开通高级版及以上版本,支持使用自定义CC防护策略。
操作步骤
- 登录边缘安全加速平台控制台,进入【安全与加速】工作台。
- 在左侧导航栏中选择【安全能力】,进入【访问控制/限流】菜单,并在左侧域名列表选择您要防护的域名。
- 进入防护能力-高级安全防护-【CC防护】详细设置。
配置说明
基础设置
| 配置项 | 说明 |
|---|---|
| CC防护开关 | CC防护的功能开关 |
| CC防护模式 | 【CC防护模式】设置为阈值,则域名访问达到防护条件时进行防护 【CC防护模式】设置为长久,则域名的每次访问都进行防护校验,适合有长期防护的需求场景 |
| 阈值 | 即触发防护动作的阈值,当统计频率内达到设定的阈值,将触发防护 |
| 周期 | 即设定时长内达到防护阈值,将触发防护。新的时间周期将重新开始计算统计频率 |
| 防护时长 | 即触发防护后的持续防护时间 |
| 跨域请求防护 | 支持开启或关闭跨域请求防护功能。若您所防护的域名存在跨域访问场景(即被其他域名网站引用访问),建议关闭跨域请求防护,以免被CC防护算法拦截 |
注意当CC防护模式选择阈值,为避免单位时间内阈值配置过低,导致频繁触发CC攻击,限制阈值与周期的比值不得小于100。
CC防护规则设置
针对订购高级版套餐及以上的用户,支持自定义CC防护规则,防护规则开启且满足防护规则的请求经过挑战算法校验。免费版、基础版用户可使用默认CC防护规则,不可自定义修改。
配置项 说明 默认配置 匹配条件 满足匹配条件的请求才进行防护。支持配置匹配字段有IP、HEADER、GEO、ARGS、URI、IPS、METHOD、REQUEST_URI、PROTOCOL URI包含正则/.*
HEADER不包含KEY:upgrade;VALUE:websocket
GET防护策略
支持配置第一策略为CCJS、META_JS、JS_MS、CC302其中一种,支持配置响应状态码
第二策略支持配置CC302、空
对GET、COPY、OPTIONS、DELETE、HEAD请求协议生效
第一策略CC302
响应状态码302
第二策略空
POST防护策略
支持配置第一策略为CCJS、META_JS、JS_MS、CC302其中一种,支持配置响应状态码
第二策略支持配置CC302、空
对POST、PUT请求协议生效
除CC307策略外,其它策略验证有效期8秒,容易造成POST数据提交失败
第一策略CC307
响应状态码307
第二策略空
验证模式 支持选择Cookie形式或url参数形式,若业务不支持Cookie的情况可使用url参数形式。POST不支持url参数形式 Cookie形式 非静态HTML文件 支持选择检测或不检测 检测
防护策略说明
| 策略 | 说明 |
|---|---|
| CC302 | 针对GET请求响应302状态码,要求客户端根据Location发起跳转请求 |
| CC307 | 针对POST请求响应307状态码,要求客户端根据Location发起跳转请求 |
| JS_MS | 响应HTML页面,并在响应体JS代码中设定鼠标监听事件,要求客户端移动鼠标到指定区域发起跳转请求 |
| META_JS | 响应HTML页面,并在响应体Meta标签和JS代码中设置跳转和验证参数,要求客户端执行Meta发起跳转请求 |
| CCJS | 响应HTML页面,并在响应体JS代码中设置跳转和验证参数,要求客户端执JS发起跳转请求 |
| 第二策略 | 只有请求Accept中可以支持HTML页面才能正常执行JS_MS、CCJS、META_JS,不满足条件则降为第二策略 |
| 空 | 不启用第二策略 |
