CC 攻击防护

最近更新时间：2024-04-30 15:09:41
我的收藏
本页目录：

概述
使用 CC 攻击防护
概述
CC（Collapse Challenge）攻击，即 HTTP/HTTPS DDoS 攻击。攻击者通过占用 Web 服务的连接和会话资源，导致服务无法正常响应用户请求，拒绝服务。为避免 CC 攻击，EdgeOne 提供了预设的 CC 攻击防护策略，并默认开启，确保您的站点稳定在线。
说明：
CC 攻击防护旨在保障业务可用性。对于不会造成源站错误或者站点可用性下降的安全场景，例如：盗刷资源、批量登录、购物车自动下单等场景，请使用 速率限制 和 Bot 管理 进一步加固安全策略。
EdgeOne 使用“干净流量”计费模式，即对于安全防护功能拦截的请求不进行计费，仅对通过安全防护功能处理后的流量和请求用量计费。对“干净流量”计费模式的定义请参考：关于“干净流量”计费说明。
使用 CC 攻击防护
CC 攻击防护通过速率基线学习、头部特征统计分析和客户端IP情报等方式识别 CC 攻击，并进行处置。EdgeOne 提供了预设的三种 CC 攻击防护策略：
高频访问请求限制：用于应对通过高频和大量并发的连接请求占用服务器资源的 CC 攻击行为，可基于单 IP 源限制访问频次限制。
慢速攻击防护：用于应对通过大量慢速连接请求占用服务器资源的 CC 攻击行为，可基于单会话限制访问连接最低速率，淘汰慢速连接客户端。
智能客户端过滤：融合了速率基线学习、头部特征统计分析和客户端 IP 情报，实时动态生成防护规则。针对来自高危客户端、或者携带高危头部特征的请求进行人机验证。智能客户端过滤默认开启且对符合规则的客户端执行 JavaScript 挑战。
配置高频访问请求限制
高频访问请求限制规则根据配置的限制等级，统计当前域名的请求速率，基于最近7天请求建立速率基线（速率基线每 24 小时更新），结合配置的限制等级，限制单个客户端访问该域名的请求速率。
注意：
高频访问请求限制适用于 Web 类业务。当站点同时提供 API 接口服务时，为了防止频率较高的正常请求被拦截。建议为需要支持高频访问的 API 接口配置 防护例外规则，跳过 CC 攻击防护模块，同时通过配置 速率限制 精准限制 API 接口暴露面，避免使用适中、攻击紧急、严格限制等级。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台，在左侧菜单栏中，单击站点列表，在站点列表内单击需配置的站点，进入站点详情页面。
2. 在站点详情页面，单击安全防护 > Web 防护，进入 Web 防护详情页左侧的防护域名列表中，选择需开启防护的域名。
?
?
3. 找到 CC 攻击防护卡片，单击设置。进入CC 攻击防护配置页面，单击高频访问请求限制右侧的编辑。
4. 配置高频访问请求限制的限制等级和处置方式，各限制等级说明如下：
限制类型
限制等级
适用场景
自适应
宽松（默认配置，推荐）
适用于大部分 Web 业务场景。
?
适中
适用于页面内容较为简单，动态数据或动态加载内容较少的业务场景。
?
攻击紧急
当攻击发生时，或者其他限制等级防护有防护透传造成业务影响时，可选择该限制等级进行紧急防护。由于该等级的速率限制较为严格，可能存在误杀风险，不建议长期使用。
说明：
处置方式支持观察和 JavaScript 挑战两种方式，不同的处置方式说明详见：处置方式。
5. 单击保存，完成规则配置。
配置慢速攻击防护
通过限制最小请求速率和设置超时，缓解慢速传输等攻击场景对站点资源的消耗，避免服务可用性下降。EdgeOne 慢速攻击防护支持正文传输超时和正文传输最小速率选项，当正文传输速率缓慢，或长时间无数据传输时，对客户端进行处置。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台，在左侧菜单栏中，单击站点列表，在站点列表内单击需配置的站点，进入站点详情页面。
2. 在站点详情页面，单击安全防护 > Web 防护，进入 Web 防护详情页左侧的防护域名列表中，选择需开启防护的域名。
?
?
3. 找到 CC 攻击防护卡片，单击设置。进入 CC 攻击防护配置页面，单击慢速攻击防护右侧的编辑。
4. 配置慢速攻击防护规则的匹配方式，可选以下限制：
正文传输时长：缓解通过占用连接但不传输正文数据的慢速攻击方式。指定正文传输超时时长，超过配置时间未完成前 8KB 正文数据传输的客户端，将按指定方式处置；支持配置5-120秒。
正文传输最小速率：缓解通过极慢速传输正文占用连接和会话资源的攻击。可指定最低传输速率，在统计时间窗口内传输的请求正文小于配置速率时，按指定方式处置，传输速率配置最小支持 1 bps，最大 100 Kbps。
?
说明：
配置处置方式，支持拦截、观察两种方式，不同的处置方式说明详情请参见 处置方式。
5. 单击保存，完成规则配置。
智能 CC 防护
融合了速率基线学习、头部特征统计分析和客户端 IP 情报，实时动态生成防护规则。针对来自高危客户端、或者携带高危头部特征的请求进行人机识别。智能客户端过滤默认开启且对符合规则的客户端执行 JavaScript 挑战。
注意：
智能客户端过滤使用业务速率基线作为参考之一，业务重大变更（接入、切量、新增业务、活动上新）时，业务基线可能造成误拦截，可将处置方式暂时修改为观察，待业务平稳后开启。
智能客户端过滤仅标准版及企业版套餐支持。
修改智能 CC 攻击防护处置方式
如果您需要修改触发智能客户端过滤后的处置方式，您可以参照以下操作步骤：
1. 登录 边缘安全加速平台 EO 控制台，在左侧菜单栏中，单击站点列表，在站点列表内单击需配置的站点，进入站点详情页面。
2. 在站点详情页面，单击安全防护> Web 防护，进入 Web 防护详情页左侧的防护域名列表中，选择需开启防护的域名。
?
?
3. 找到 CC 攻击防护卡片，单击设置。进入 CC 攻击防护配置页面，单击智能客户端过滤右侧的设置防护状态。
?
?
?
4. 修改匹配规则的处置方式，支持关闭（不启用）、观察和 JavaScript 挑战，不同的处置方式说明详情请参见 处置方式。
?
?
?
5. 单击保存，完成规则配置。
查看或放行已拦截的客户端列表
如果您需要查看被智能客户端过滤拦截的客户端列表，您可以参照以下操作步骤：
1. 登录 边缘安全加速平台 EO 控制台，在左侧菜单栏中，单击站点列表，在站点列表内单击需配置的站点，进入站点详情页面。
2. 在站点详情页面，单击安全防护 > Web 防护，进入 Web 防护详情页左侧的防护域名列表中，选择需开启防护的域名。
?
?
3. 找到 CC 攻击防护卡片，单击设置。进入 CC 攻击防护配置页面，单击智能客户端过滤右侧的查看已拦截客户端。
?
?
?
4. 在已拦截客户端页面，单击操作列的加入白名单，可以快速将该 IP 配置为防护例外规则。
限制类型	限制等级	适用场景
自适应	宽松（默认配置，推荐）	适用于大部分 Web 业务场景。
	?	适中	适用于页面内容较为简单，动态数据或动态加载内容较少的业务场景。
	?	攻击紧急	当攻击发生时，或者其他限制等级防护有防护透传造成业务影响时，可选择该限制等级进行紧急防护。由于该等级的速率限制较为严格，可能存在误杀风险，不建议长期使用。