【产品技术】CC攻击防御

当发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定遭受CC攻击，可以按照以下策略进行配置，利用WAF阻断CC攻击，保障网站业务的正常运行。

• WAF防护应用层流量的拒绝服务攻击，适合防御HTTP      Get攻击等。

• WAF服务并不提供针对四层及以下流量的防护，例如：ACK      Flood、UDP Flood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。

当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。

攻击案例

竞争对手控制数台主机，持续向网站“www.hwexample.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。

防护措施

1. 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。

2. 登录华为云控制台，将您的网站成功接入Web应用防火墙。

3. 选择“安全 > Web应用防火墙 > 域名配置”，进入“域名配置”页面，在您需要防护的域名（网站）所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护配置”页面，确认“CC攻击防护”的“状态”为“开启”，可切换防护状态。

1. 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有url进行防护，配置如下图所示。

图1 IP限速

• 路径：CC防护的URL链接，不包含域名。

• 前缀匹配：以*结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin*”。

• 精准匹配：需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。

• 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。

• 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。

• 限速模式：选择“IP限速”，根据IP区分单个Web访问者。

• 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。

• 防护动作：防止误拦截正常用户，选择“人机验证”。

• 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。

• 阻断：表示在指定时间内访问超过次数限制将直接阻断。

• 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。

当用户访问超过限制后需要输入验证码才能继续访问。

进入防护事件页面，可以查看攻击事件详情，如下图所示。

对于有些网站，源IP无法精准获取。例如：存在未在header中插入“X-Forwarded-For”字段的Proxy或其他原因，建议使用配置Cookie字段实现用户标识。

攻击案例：

竞争对手控制数台主机，与大多普通访客一样，共用同一IP，或通过代理频繁更换源IP，持续向网站“www.hwexample.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。

防护措施：

1. 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。

2. 登录华为云控制台，将网站成功接入Web应用防火墙。

3. 选择“安全 > Web应用防火墙 > 域名配置”，进入“域名配置”页面，在您需要防护的域名（网站）所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护配置”页面，确认“CC攻击防护”的“状态”为“开启”，切换防护状态。

图1 CC防护规则配置框

1. 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。

“防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。

• 路径：CC防护的URL链接，不包含域名。

• 前缀匹配：以*结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin*”。

• 精准匹配：需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。

• 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。

• 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。

• 限速模式：选择“用户限速”，根据Cookie键值区分单个Web访问者。

• 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。

• 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。

• 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。

• 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。

• 阻断：表示在指定时间内访问超过次数限制将直接阻断。

• 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。

• 阻断页面：可选择“默认设置”或者“自定义”。