华为云CC攻击防御最佳实践：基于IP限速的配置

小提示：您能找到这篇{华为云CC攻击防御最佳实践：基于IP限速的配置}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的华为云CC攻击防御最佳实践：基于IP限速的配置内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。

< ">攻击案例

< ">竞争对手控制数台主机，持续向网站“www.hwexample.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。

< ">防护措施

< ">1.根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。

< ">2.登录华为云控制台电商运营公司，将您的网站成功接入Web应用防火墙，关于域名接入的具体操作请参见添加防护域名。

< ">3.选择“安全>Web应用防火墙>微信小程序培训;域名配置”，进入“域名配置”页面，在您需要防护的域名（网站）所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护配置”页面，确认“CC攻击防护”的“状态”为“开启”，单击< ">可切换防护状态，如图1所示。

< ">图1 CC防护规则配置框

< ">4.开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有url进行防护，配置如图2所示。

< ">图2 IP限速

< ">路径：CC防护的URL链接，不包含域名。

< ">前缀匹配：以*结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或“/adminabc”，则路径可以填写为“/admin*”。

< ">精准匹配：需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。

< ">说明：

< ">该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。

< ">路径里不能含有连续的网络营销正确的是多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。

< ">限速模式：选择“IP限速”，根据IP区分单个Web访问者。

< ">限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。

< ">防护动作：防止误拦截正常用户，选择“人机验证”。

< ">人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。

< ">阻断：表示在指定时间内访问超过次数限制将直接阻断。

< ">仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。

< ">当用户访问超过限制后需要输入验证码才能继续访问。

< ">进入防护事件页面，可以查看攻击事件详情，如图3所示。

< ">图3查看CC攻击事件日志