Setelah menambahkan situs web ke Anti-DDoS, Anda dapat mengonfigurasi aturan berdasarkan karakteristik field HTTP tertentu saat menghadapi serangan flood HTTP. Aturan ini meningkatkan deteksi dan pemblokiran terhadap serangan flood HTTP serta dapat diterapkan dalam skenario seperti perlindungan hotlink dan melindungi backend manajemen situs web Anda. Topik ini menjelaskan cara mengonfigurasi kebijakan mitigasi serangan flood HTTP.
Pengenalan produk yang melindungi dari serangan flood HTTP
Serangan Challenge Collapsar (CC) merupakan jenis serangan denial-of-service terdistribusi (DDoS) yang umumnya termasuk dalam kategori serangan lapisan aplikasi. Dalam serangan CC, penyerang menggunakan banyak host yang dikendalikan untuk terus-menerus mengirim permintaan HTTP atau HTTPS palsu ke server web target—misalnya, dengan meminta halaman pencarian atau login yang menghabiskan banyak sumber daya server. Hal ini menguras sumber daya server atau bandwidth jaringan, sehingga menyebabkan situs web merespons secara lambat atau bahkan gagal melayani permintaan pengguna sah.
Berbeda dengan serangan DDoS tradisional pada lapisan jaringan, serangan flood HTTP lebih terselubung karena meniru permintaan pengguna sah. Untuk meningkatkan keamanan layanan situs web Anda, Alibaba Cloud menyediakan Anti-DDoS Pro, Anti-DDoS Premium, dan Web Application Firewall (WAF) guna melindungi dari serangan flood HTTP.
Anti-DDoS Pro dan Anti-DDoS Premium
Anti-DDoS Pro dan Anti-DDoS Premium berfokus pada perlindungan terhadap serangan volumetrik, memastikan infrastruktur jaringan Anda tidak terganggu akibat kehabisan bandwidth atau sumber daya. Produk-produk ini biasanya diterapkan di tepi jaringan dan menyediakan Perlindungan Cerdas serta mitigasi serangan flood HTTP untuk melindungi dari serangan tersebut.
Perlindungan Cerdas: Fitur ini memanfaatkan kemampuan big data Alibaba Cloud untuk mempelajari pola lalu lintas situs web Anda, menganalisis anomali serangan melalui algoritma, dan secara otomatis menghasilkan aturan kontrol akses yang akurat. Fitur ini secara dinamis menyesuaikan model perlindungan layanan Anda guna mendeteksi dan memblokir serangan web berbahaya—seperti bot berbahaya dan serangan flood HTTP—secara cepat. Perlindungan Cerdas diaktifkan secara default setelah Anda menambahkan situs web ke Anti-DDoS Pro atau Anti-DDoS Premium. Untuk informasi selengkapnya, lihat Konfigurasi perlindungan cerdas.
Mitigasi serangan flood HTTP: Fitur ini dijelaskan dalam topik ini. Jika situs web Anda sedang mengalami serangan flood HTTP, Anda dapat menganalisis karakteristik field permintaan HTTP-nya, lalu membuat aturan kontrol akses yang akurat atau aturan kontrol frekuensi. Aturan ini menggunakan langkah-langkah seperti pembatasan laju, analisis perilaku, dan daftar hitam IP untuk memperkuat pertahanan terhadap serangan DDoS.
Web Application Firewall (WAF)
WAF terutama menganalisis lalu lintas HTTP dan HTTPS pada lapisan aplikasi, mengidentifikasi dan melindungi dari pola berbahaya dalam lalu lintas layanan situs web atau aplikasi Anda. Hal ini mencegah degradasi kinerja akibat penyusupan berbahaya ke server web. WAF menggunakan berbagai metode untuk mengidentifikasi dan melindungi dari serangan lapisan aplikasi, termasuk validasi input, set aturan untuk kerentanan tertentu, pelacakan sesi, serta mekanisme perlindungan seperti kode verifikasi, Tantangan JavaScript, dan validasi cookie. WAF biasanya diterapkan dekat dengan server, memungkinkannya memantau secara ketat lalu lintas yang mencapai server dan menegakkan kebijakan keamanan lapisan aplikasi.
Kedua produk ini memiliki fokus perlindungan yang berbeda. Jika kekhawatiran utama Anda adalah serangan flood HTTP, Anti-DDoS Pro dan Anti-DDoS Premium direkomendasikan bila volume serangan tinggi—misalnya, jika serangan menyebabkan situs web menjadi tidak dapat diakses. Jika volume serangan rendah—misalnya, hanya menyebabkan respons situs web menjadi lambat—Web Application Firewall lebih direkomendasikan. Namun, untuk perlindungan optimal, kami menyarankan penerapan kedua produk tersebut secara bersamaan guna memastikan layanan situs web Anda terlindungi dari lalu lintas berbahaya dan penyerang.
Rekomendasi untuk mengonfigurasi kebijakan mitigasi serangan flood HTTP
Kami merekomendasikan agar Anda mengonfigurasi kebijakan ini hanya saat situs web Anda sedang mengalami serangan flood HTTP. Fitur ini dapat memperkuat pertahanan dengan mengizinkan atau memfilter lalu lintas berdasarkan karakteristik tertentu, namun tidak direkomendasikan untuk perlindungan harian.
Anda dapat memeriksa karakteristik yang jelas dalam permintaan HTTP, seperti alamat IP sumber yang identik atau field yang berulang dalam URI, lalu mengonfigurasi kebijakan mitigasi serangan flood HTTP berdasarkan karakteristik tersebut.
Di halaman Attack Analysis, Anda dapat melihat peristiwa Web Resource Exhaustion yang dicatat oleh Anti-DDoS Pro dan Anti-DDoS Premium. Detail peristiwa mencakup informasi seperti alamat IP sumber, User-Agent, Referer, HTTP-Method, dan Sidik Jari Klien. Untuk informasi selengkapnya, lihat Analisis serangan.
Di halaman Log Analysis, Anda dapat melihat field dalam log untuk Anti-DDoS Pro dan Anti-DDoS Premium, seperti
real_client_ip,http_user_agent,http_referer, danrequest_method. Untuk deskripsi field-field ini, lihat Field log lengkap.
Pengenalan kebijakan mitigasi serangan flood HTTP
Aturan diklasifikasikan sebagai aturan kontrol akses yang akurat atau aturan kontrol frekuensi, tergantung pada apakah Anda mengaktifkan Frequency Settings saat membuat aturan. Logika pencocokan memeriksa aturan kontrol akses yang akurat terlebih dahulu, lalu aturan kontrol frekuensi. Begitu permintaan cocok dengan suatu aturan, aturan berikutnya tidak diperiksa lagi.
CatatanAturan kontrol akses yang akurat yang dihasilkan secara otomatis oleh fitur Perlindungan Cerdas Anti-DDoS Pro dan Anti-DDoS Premium—yaitu aturan yang diawali dengan
smartcc_—juga mengikuti logika pencocokan ini.Untuk meningkatkan perlindungan default terhadap serangan flood HTTP, mesin perlindungan produk mencakup dua aturan kontrol frekuensi bawaan. Detail aturan ini ditampilkan di area konfigurasi Aturan Kontrol Frekuensi, yaitu Aturan Mitigasi Flood HTTP Bawaan - Berdasarkan Frekuensi Permintaan Klien dan Aturan Mitigasi Flood HTTP Bawaan - Berdasarkan Kode Respons Server Asal. Saat ini, Anda hanya dapat melihat dan menghapus aturan ini.
Nama aturan | Aturan kontrol akses yang akurat | Aturan kontrol frekuensi |
Deskripsi | Aksi dieksekusi segera setelah permintaan memenuhi kondisi pencocokan. Catatan Jika Anda melihat aturan yang diawali dengan | Aksi dieksekusi hanya ketika objek statistik memenuhi kondisi pencocokan dan frekuensi aksesnya mencapai ambang batas yang ditentukan dalam periode statistik. Penting Aturan mitigasi serangan flood HTTP bawaan yang dihapus tidak dapat dipulihkan. Lakukan dengan hati-hati. Jika Anda menghapus aturan bawaan, kami merekomendasikan agar Anda membuat aturan kontrol frekuensi kustom berdasarkan frekuensi akses dan karakteristik nama domain atau antarmuka bisnis penting Anda guna meningkatkan efektivitas perlindungan flood HTTP. |
Durasi berlaku aturan | Anda dapat mengatur durasi menjadi permanen atau periode kustom antara 5 hingga 120 menit. Catatan Jika Anda mengatur durasi kustom, aturan akan dihapus secara otomatis saat masa berlakunya habis. | Permanen. |
Prinsip pencocokan | Semua aturan diperiksa untuk pencocokan. Jika suatu permintaan mengenai beberapa aturan, aksi dari aturan dengan prioritas tertinggi yang dieksekusi. Sebagai contoh, jika suatu permintaan mengenai Aturan ① dan Aturan ②, aksi untuk Aturan ① yang dieksekusi.
| Semua aturan diperiksa untuk pencocokan. Jika suatu permintaan mengenai beberapa aturan, aksi dari salah satu aturan yang cocok dieksekusi secara acak. |
Kondisi | Jumlah maksimum aturan kontrol akses yang akurat yang dapat Anda konfigurasi untuk setiap nama domain adalah sebagai berikut:
| Jumlah maksimum aturan kontrol frekuensi yang dapat Anda konfigurasi untuk setiap nama domain adalah sebagai berikut:
|
Cara cookie disisipkan
Untuk layanan Lapisan 7, cookie disisipkan dalam dua skenario berikut.
Skenario 1: Fitur perlindungan flood HTTP diaktifkan dalam kebijakan Perlindungan DDoS untuk Layanan Website untuk nama domain tersebut.
Setelah Anda mengaktifkan kebijakan mitigasi serangan flood HTTP, Anti-DDoS Pro dan Anti-DDoS Premium menyisipkan cookie ke klien, seperti browser, untuk membedakan dan menghitung klien yang berbeda. Ketika pengguna mengakses situs web, informasi cookie disertakan dalam pesan HTTP. Anti-DDoS Pro dan Anti-DDoS Premium menggunakan hasil statistik untuk menentukan apakah terdapat serangan flood HTTP dalam lalu lintas layanan dan mengaktifkan kebijakan pembersihan lalu lintas serangan flood HTTP.
Skenario 2: Aksi aturan untuk kebijakan mitigasi serangan flood HTTP diatur ke Tantangan JavaScript.
Ketika aksi aturan Tantangan JavaScript diaktifkan untuk kebijakan mitigasi serangan flood HTTP, cookie disisipkan ke header pesan HTTP untuk mendapatkan informasi sidik jari browser klien. Informasi sidik jari yang dikumpulkan mencakup field host pesan HTTP serta tinggi dan lebar browser. Ketika lalu lintas akses mengenai aturan tersebut, Anti-DDoS Pro dan Anti-DDoS Premium menginisiasi probe tantangan ke klien. Layanan kemudian menggunakan statistik sidik jari browser untuk menentukan apakah klien tersebut abnormal dan mengidentifikasi perilaku serangan flood HTTP dari klien abnormal.
Untuk menonaktifkan penyisipan cookie oleh Anti-DDoS Pro dan Anti-DDoS Premium untuk layanan Anda, buka halaman di konsol. Klik Edit di kolom Actions. Di panel konfigurasi situs web, matikan sakelar Cookie Settings. Namun, tindakan ini juga mencegah Anti-DDoS Pro dan Anti-DDoS Premium mendeteksi dan melindungi secara aktif terhadap serangan flood HTTP menggunakan kebijakan mitigasi serangan flood HTTP.
Konfigurasi kebijakan mitigasi serangan flood HTTP
Prasyarat
Layanan situs web telah ditambahkan ke Proxy Anti-DDoS. Untuk informasi selengkapnya, lihat Menambahkan situs web.
Prosedur
Masuk ke Konsol Proxy Anti-DDoS.
Di bilah navigasi atas, pilih wilayah instans Anda.
Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
Proxy Anti-DDoS (Luar Daratan Tiongkok): Pilih wilayah Luar Daratan Tiongkok.
Di panel navigasi sebelah kiri, pilih .
Di halaman General Policies, klik tab Protection for Website Services dan pilih nama domain yang akan dikonfigurasi dari daftar di sebelah kiri.
Buka bagian HTTP Flood Mitigation. Klik Settings lalu Create Rule di pojok kanan atas. Konfigurasi aturan tersebut dan klik OK.
Parameter
Deskripsi
Rule Name
Nama aturan. Nama dapat berisi huruf, angka, dan garis bawah (_). Panjang nama maksimal 128 karakter.
Match Conditions
Kondisi pencocokan untuk aturan tersebut. Untuk informasi selengkapnya tentang field-field tersebut, lihat Lampiran 1: Field permintaan HTTP yang didukung.
CatatanField Value tidak boleh kosong. Konten pencocokan untuk aturan kontrol akses yang akurat bersifat case-sensitive. Konten pencocokan untuk aturan kontrol frekuensi tidak case-sensitive.
Anda dapat mengatur hingga lima kondisi pencocokan. Jika Anda menambahkan beberapa kondisi, permintaan dianggap mengenai aturan hanya jika memenuhi semua kondisi tersebut.
Frequency Settings
Menentukan apakah akan mengaktifkan validasi pengaturan frekuensi.
Matikan: Aturan merupakan aturan kontrol akses yang akurat.
Nyalakan: Aturan merupakan aturan kontrol frekuensi. Jika Anda mengaktifkannya, Anda perlu mengonfigurasi Statistical Object (mendukung IP, Header Kustom, Sesi, Cookie Kustom, Parameter Permintaan Kustom), Statistical Period (s), dan Threshold (times). Anda juga dapat mengatur aturan yang lebih rinci berdasarkan jumlah atau proporsi kode respons.
Action
Aksi yang diambil terhadap permintaan saat mengenai kondisi pencocokan. Nilai yang valid:
Allow: Mengizinkan permintaan akses.
Block: Memblokir permintaan akses.
JavaScript Challenge: Memvalidasi alamat IP asal permintaan akses menggunakan algoritma tantangan.
Monitor: Mencatat log untuk permintaan yang mengenai aturan pemantauan dan mengizinkan permintaan akses.
CatatanSaat pengaturan frekuensi diaktifkan, Action hanya mendukung Block, JavaScript Challenge, dan Monitor.
Action Duration
Saat sakelar pengaturan frekuensi dimatikan: Ini adalah durasi berlaku aturan akses akurat. Mendukung permanen atau durasi kustom antara 5 hingga 120 menit.
CatatanJika Anda mengatur durasi kustom, aturan akan dihapus secara otomatis saat masa berlakunya habis.
Saat sakelar pengaturan frekuensi dinyalakan: Ini adalah durasi eksekusi aksi aturan saat aturan kontrol frekuensi terpenuhi. Hanya mendukung durasi kustom antara 1 hingga 1440 menit.
Advanced Settings
Saat pengaturan frekuensi diaktifkan, Anda dapat mengonfigurasi deduplikasi untuk statistik. Objek statistik dapat diatur ke IP, Header, atau URI.
Skenario 1: Deduplikasi diaktifkan
Pada contoh di bawah, saat kondisi pencocokan terpenuhi, jika alamat IP sumber yang sama mengakses 200 URI berbeda atau lebih dalam waktu 30 detik, aksi yang ditentukan dieksekusi untuk memblokir permintaan dari IP tersebut. Karena deduplikasi diaktifkan, beberapa permintaan dari IP sumber yang sama ke URI yang sama dihitung sebagai satu permintaan.
Skenario 2: Deduplikasi dinonaktifkan
Pada contoh di bawah, saat kondisi pencocokan terpenuhi, jika alamat IP sumber yang sama melakukan 200 permintaan atau lebih dalam waktu 30 detik, aksi yang ditentukan dieksekusi untuk memblokir permintaan dari IP tersebut. Karena deduplikasi dinonaktifkan, jika IP sumber yang sama mengakses URI yang sama sebanyak 10 kali, jumlah aksesnya dihitung sebagai 10.
Kembali ke bagian HTTP Flood Protection dan nyalakan sakelar Status.
Lampiran 1: Field permintaan HTTP yang didukung
Bidang Pencocokan | Deskripsi Field | Operator Logika | Contoh Bidang |
IP | Alamat IP sumber permintaan akses. Mendukung beberapa alamat IP atau kombinasi alamat IP/masker. | sama dengan, tidak sama dengan, ada dalam daftar, tidak ada dalam daftar | 10.10.10.10 |
URI | URI permintaan akses. Contohnya: | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, awalan cocok, salah satu dari, bukan salah satu dari Catatan Jika operator logika adalah "sama dengan" atau "tidak sama dengan", string input harus diawali dengan | /action/member/id.php?id=1&td=2 |
User-Agent | Informasi terkait browser dari klien yang menginisiasi permintaan akses, seperti pengenal browser, pengenal mesin rendering, dan informasi versi. | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, salah satu dari, bukan salah satu dari | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.XX.XX Safari/537.36 |
Cookie | Informasi cookie yang dibawa dalam permintaan akses. | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, tidak ada, salah satu dari, bukan salah satu dari | cna=Z87DHXX/jXIBASQBsYAimToU; sca=234ea940; yunpk=177699790**** |
Referer | URL asal permintaan akses, yaitu halaman tempat permintaan dialihkan. | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, tidak ada, salah satu dari, bukan salah satu dari | https://example.aliyundoc.com/ |
Content-Type | Tipe konten HTTP respons yang ditentukan untuk permintaan akses, yaitu informasi tipe Multipurpose Internet Mail Extensions (MIME). | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, salah satu dari, bukan salah satu dari | text/plain;charset=UTF-8 |
X-Forwarded-For | Alamat IP asal klien yang membuat permintaan akses. Format: | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, tidak ada, salah satu dari, bukan salah satu dari | 36.18.XX.XX,192.18.XX.XX |
Content-Length | Jumlah byte yang disertakan dalam permintaan akses. | nilai kurang dari, nilai sama dengan, nilai lebih dari | 806 |
Post-Body | Informasi konten permintaan akses. | berisi, tidak berisi, sama dengan, tidak sama dengan, salah satu dari, bukan salah satu dari | Content-Type: application/x-www-form-urlencoded name=John&age=25&email=**** |
Http-Method | Metode permintaan akses. Nilai yang valid: GET, POST, DELETE, PUT, OPTIONS, CONNECT, HEAD, TRACE. | sama dengan, tidak sama dengan, salah satu dari, bukan salah satu dari | POST |
Header | Informasi header permintaan akses, digunakan untuk menyesuaikan field header HTTP dan mencocokkan konten. | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, tidak ada, salah satu dari, bukan salah satu dari | *text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/**** |
Params | Bagian parameter URL dalam permintaan akses, biasanya bagian setelah | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, salah satu dari, bukan salah satu dari | action=login |
Raw-URI | URI yang tidak dienkripsi, yang mempertahankan urutan karakter aslinya. Raw-URI dapat berisi karakter khusus dan spasi, tetapi perlu dienkripsi sebelum digunakan untuk menghindari ambiguitas atau kesalahan selama transmisi dan penguraian jaringan. | berisi, tidak berisi, sama dengan, tidak sama dengan, panjang kurang dari, panjang sama dengan, panjang lebih dari, cocok regex, byte berisi, byte sama dengan, salah satu dari, bukan salah satu dari | GET /images/logo.png HTTP/1.1 |
Tls-Fingerprint | Nilai sidik jari klien yang berasal dari sidik jari TLS klien yang menginisiasi permintaan akses. Nilai ini diidentifikasi dan dihitung menggunakan algoritma milik Alibaba Cloud untuk mencocokkan dan melindungi terhadap permintaan akses. Cara melihat sidik jari klien:
| Sama dengan atau Tidak sama dengan | 74dcbf6b790160370bb6b7bea98d5978 |
HTTP/HTTPS | Jenis protokol permintaan akses. Mendukung HTTP dan HTTPS. | Sama dengan atau tidak sama dengan | HTTP |
Versi HTTP | Versi protokol HTTP. Mendukung HTTP/1.0, HTTP/1.1, dan HTTP/2.0. | sama dengan, tidak sama dengan, salah satu dari, bukan salah satu dari | HTTP/1.0 |
Sidik Jari HTTP/2.0 | Sidik jari HTTP/2.0 yang dihasilkan dengan memproses sidik jari asli klien HTTP/2 menggunakan algoritma MD5. Digunakan untuk menganalisis dan mengidentifikasi klien berbeda demi komunikasi yang lebih aman dan efisien. | adalah, bukan | ad8424af1cc590e09f7b0c499bf7fcdb |
Sidik Jari JA3 | Anti-DDoS Pro dan Anti-DDoS Premium menghasilkan sidik jari JA3 dengan menerapkan hashing MD5 pada parameter kunci dari proses jabat tangan TLS. Parameter tersebut mencakup versi TLS, paket sandi, algoritma kompresi, dan ekstensi TLS. String yang dihasilkan merepresentasikan konfigurasi TLS klien. Sidik jari JA3 dapat digunakan untuk mengidentifikasi dan membedakan berbagai jenis klien TLS, seperti browser web, aplikasi seluler, dan malware. | sama dengan, tidak sama dengan, salah satu dari, bukan salah satu dari | eb6f49e8db7ad1809f885d12232f4855 |
Sidik Jari JA4 | Sidik jari JA4 mengurangi potensi duplikasi yang ditemukan pada sidik jari JA3 dengan memasukkan lebih banyak informasi kontekstual dan algoritma, seperti versi browser dan sistem operasi. Sidik jari JA4 dapat lebih akurat membedakan antara pengguna asli dan peniru, sehingga mengurangi tingkat positif palsu. | sama dengan, tidak sama dengan, salah satu dari, bukan salah satu dari | f436b9416f37d134cadd04886327d3e8 |
Benua/Negara | Lokasi geografis IP sumber. | Pemilihan Daftar Hitam Lokasi | Eropa |
Lampiran 2: Contoh konfigurasi
Contoh berikut memberikan rekomendasi konfigurasi untuk skenario bisnis umum. Konfigurasi spesifik tergantung pada kebutuhan bisnis aktual Anda. Contoh ini hanya untuk tujuan demonstrasi.
Blokir permintaan serangan tertentu
Lalu lintas bisnis sah biasanya tidak mencakup permintaan POST ke direktori root. Jika situs web Anda mengalami serangan flood HTTP dan Anda melihat banyak permintaan POST ke direktori root, Anda dapat mengevaluasi legitimasi permintaan tersebut. Jika Anda memastikan bahwa permintaan tersebut bukan permintaan bisnis sah, Anda dapat mengonfigurasi aturan berikut.
Blokir perayap web
Jika Anda melihat banyak lalu lintas perayap web ke situs web Anda dalam periode waktu tertentu, dan Anda tidak dapat mengesampingkan kemungkinan serangan dari jaringan bot yang menyamar sebagai perayap, Anda dapat memblokir permintaan perayap tersebut. Gambar berikut menunjukkan contoh konfigurasi aturan.
Perlindungan hotlink
Saat browser mengakses halaman web, browser menyertakan field Referer yang memberi tahu server halaman mana yang menautkan ke permintaan tersebut. Dengan mengonfigurasi aturan kontrol akses untuk field Referer, Anda dapat memblokir hotlinking dari situs web tertentu. Misalnya, jika Anda menemukan bahwa "https://example.aliyundoc.com" melakukan hotlinking gambar dari situs Anda secara luas, Anda dapat mengonfigurasi aturan berikut.
Tetapkan batas frekuensi berdasarkan User-Agent
Misalnya, jika User-Agent tertentu mengakses URI yang memiliki awalan /game/all_ lebih dari 30 kali dalam 10 detik, Anda dapat menerapkan aksi tantangan terhadap permintaan dari User-Agent tersebut.
Tetapkan batas frekuensi untuk login
Misalnya, untuk mencegah serangan kamus berfrekuensi tinggi terhadap antarmuka login Anda, Anda dapat menentukan alamat antarmuka login dan mengonfigurasi aturan untuk memblokir permintaan yang melebihi frekuensi 20 kali dalam 60 detik.
Tetapkan aturan batas frekuensi berdasarkan kode respons server asal
Dengan mengonfigurasi kondisi pemicu berdasarkan jumlah atau proporsi kode respons server asal, Anda dapat meningkatkan akurasi perlindungan di atas kebijakan mitigasi frekuensi yang sudah ada, sehingga mengurangi risiko positif palsu yang memengaruhi bisnis normal. Saat jumlah permintaan dari objek statistik melebihi ambang batas dalam periode statistik dan jumlah atau rasio kode respons server asal yang dikonfigurasi juga terlampaui, aksi yang sesuai dipicu.
200
Saat server asal memiliki kemampuan pemrosesan yang kuat, server tersebut mungkin tetap merespons secara normal terhadap permintaan berfrekuensi tinggi dari penyerang. Dalam kasus ini, Anda dapat mengelola IP yang melebihi frekuensi permintaan normal untuk bisnis Anda. Hal ini memberikan efek pembatasan laju dan melindungi ketersediaan server asal serta layanan Anda. Anda dapat menggunakan konfigurasi yang mirip dengan berikut:
404
Saat penyerang melancarkan serangan pemindaian URI atau terus-menerus meminta path yang tidak ada di server asal, server sering merespons dengan beberapa kode status 404. Anda dapat mengonfigurasi kebijakan untuk menambahkan alamat IP penyerang ke daftar hitam. Anda dapat menggunakan konfigurasi yang mirip dengan berikut:
403
Saat penyerang melancarkan serangan berbasis web dan backend Anti-DDoS Pro dan Anti-DDoS Premium adalah produk seperti WAF, Anda dapat mengonfigurasi aturan berdasarkan kode respons dari produk perlindungan lainnya. Misalnya, Alibaba Cloud WAF memblokir serangan web dan merespons dengan kode status 403. Anda dapat mengonfigurasi kebijakan di Anti-DDoS Pro dan Anti-DDoS Premium untuk menambahkan alamat IP penyerang ke daftar hitam lebih awal. Anda dapat menggunakan konfigurasi yang mirip dengan berikut:
429
Jika server asal Anda memiliki konfigurasi pembatasan laju atau validasi bisnis sendiri, server tersebut mungkin merespons dengan kode status 429 Too Many Requests atau kode respons kustom saat permintaan penyerang mengenai aturan tersebut. Anda dapat mengonfigurasi kebijakan untuk menambahkan alamat IP penyerang ke daftar hitam guna mengurangi tekanan pada server asal. Anda dapat menggunakan konfigurasi yang mirip dengan berikut:
502
Saat server asal mengalami waktu pemrosesan permintaan yang lama akibat lonjakan permintaan, yang mengakibatkan respons 502 abnormal, Anda dapat mengonfigurasi kebijakan untuk menambahkan alamat IP yang melakukan permintaan berfrekuensi tinggi ke daftar hitam. Hal ini memastikan ketersediaan server asal. Anda dapat menggunakan konfigurasi yang mirip dengan berikut:
555
Jika server asal Anda memiliki logika bisnis khusus dan merespons permintaan tak terduga dengan kode status kustom, seperti 555, Anda dapat menggunakan karakteristik ini di Anti-DDoS Pro dan Anti-DDoS Premium untuk mengelola alamat IP yang mengirim permintaan tak terduga tersebut. Anda dapat menggunakan konfigurasi yang mirip dengan berikut:
Blokir sidik jari klien tidak valid
Penyerang dapat memalsukan sidik jari klien untuk menyamar sebagai klien asli dan mencoba membuat banyak koneksi atau permintaan HTTP, yang dapat menyebabkan server crash atau denial of service. Anda dapat menolak koneksi dengan memeriksa dan mengidentifikasi sidik jari klien.
Misalnya, selama serangan flood HTTP volumetrik, jika penyerang menggunakan skrip atau alat yang sama, jumlah atau proporsi permintaan dengan nilai sidik jari yang sama akan meningkat secara tiba-tiba. Di tab Domain Names halaman Security Overview, Anda dapat melihat data teratas untuk Client TLS Fingerprint. Anda dapat menggabungkannya dengan field ssl_client_tls_fingerprinting_md5 di Log Analysis untuk memeriksa proporsi sidik jari klien teratas. Analisis ini membantu Anda segera mengidentifikasi nilai sidik jari mencurigakan dan menetapkan kebijakan.