如果您的網站因遭受惡意CC攻擊導致響應緩慢,可配置頻次控制功能,全站加速節點能夠有效識別異常的高頻訪問,快速阻斷訪問該網站的惡意請求,提升網站的安全性。
重要 目前頻次控制功能已暫停申請,推薦您使用DCDN WAF防護(新版)。
啟用頻次控制
- 登入DCDN控制台。
- 在左側導覽列,單擊域名管理。
- 在域名管理頁面,單擊目標網域名稱對應的配置。
- 在指定網域名稱的左側導覽列,單擊安全配置。
- 單擊频次控制頁簽。
- 開啟頻次控制設定開關。
- 單擊修改配置。
- 在频次控制對話方塊,開啟參數檢測開關,並選擇控制模式。
參數 說明 參數檢測 開啟參數檢測,頻次控制規則中的URI會帶上完整的參數進行匹配。參數檢測僅與URI匹配相關,與自訂規則中的匹配規則無關。 說明 參數檢測僅適用於自訂規則。控制模式 您可以選擇以下控制模式: - 正常
預設頻次控制模式。當您的網站流量無明顯異常時,採用該模式,避免被誤殺。
- 緊急
當您的網站響應緩慢,且流量、CPU、記憶體等指標異常時,採用該模式。
- 自訂
您可以根據業務需求自訂防護規則,有效識別異常的高頻訪問,邊緣抵禦CC攻擊。配置自訂規則的方法,請參見自訂頻次控制規則。
- 正常
自訂頻次控制規則
重要
- 當控制模式選擇自訂時,需配置自訂規則,其他控制模式不需要配置自訂規則。
- 最多支援添加5條自訂規則。
- 單擊自訂規則對應的添加規則。
- 根據介面提示和下表配置自訂規則。
參數 說明 名稱 - 長度為4~30個字元,支援英文、數字。
- 同一個網域名稱的規則名稱不可重複。
URI 指定需要防護的具體地址,例如 /register。如果地址中包含了參數,例如/user?action=login,需開啟參數檢測開關才會生效。匹配方式 匹配方式預設按照首碼匹配、完全符合和正則匹配的順序排序並執行,您可以在同類規則中調整優先順序,優先順序按列表順序排序,執行規則時按照優先順序進行執行。 - 首碼匹配
即包含匹配,只要是請求的URI以此處配置的URI開頭就會被統計。例如,如果設定URI為
/register,則/register.html會被統計。 - 完全符合
即精確匹配,請求地址必須與配置的URI完全一樣才會被統計。
- 正則匹配
即支援使用Regex來進行目錄匹配。
監測對象 頻次控制支援的監測對象如下: - 用戶端IP
- 請求Header中指定欄位
- 請求URL中指定參數
檢測時間長度 指定統計訪問次數的周期,需要和檢測對象配合。檢測時間長度為大於等於10秒。 匹配規則 您可以單擊添加規則,配置規則的類型、參數、邏輯符和值。 說明 頻次控制命中匹配規則的請求次數是基於單節點進行統計,實際攔截策略生效會滯後,建議您增加訪問頻次,以便更快觸發攔截規則。阻斷類型 指定觸發條件後的操作,可以是封鎖或人機識別。 - 封鎖
觸發條件後直接中斷連線,所有請求返回403。
- 人機識別
觸發條件後用重新導向的方式訪問用戶端(返回200狀態代碼),且系統會自動識別正常訪問和攻擊,對於攻擊行為進行封鎖,只有驗證通過後才允許存取。
例如,單個IP在20秒內訪問超過5次,則進行人機識別判斷,在10分鐘內該IP的訪問請求都需要通過人機識別,如果被識別為非法將會被攔截,只有被識別為合法才會允許存取。
阻斷時間長度 指定執行阻斷動作的時間,阻斷時間大於等於60秒。 - 單擊確定。
自訂規則配置樣本
自訂規則的配置樣本如下表所示。
| 情境 | 檢測對象 | 檢測時間長度 | 匹配規則 | 阻斷類型 | 阻斷時間長度 | 結果 |
| 4xx/5xx異常 | IP | 10秒 | "status_ratio|404">60%&&"count">50 | 封鎖 | 10分鐘 | 某訪問IP的返回404狀態代碼佔比大於60%,且訪問次數大於50次時,進行IP封鎖,在10分鐘內斷開該IP的串連,所有請求返回403。 |
| QPS異常 | 網域名稱 | 10秒 | "count">N說明 N表示可以取任意值,您可以根據實際業務需求設定。 | 人機識別 | 10分鐘 | 某網域名稱訪問次數大於N次時,進行人機識別判斷,在10分鐘內該網域名稱的訪問請求都需要通過人機識別,如果被識別為非法將會被攔截,只有被識別為合法才會允許存取。 |