CC攻擊(Challenge Collapsar攻擊)是DDoS攻擊的一種,通過持續發送高並發請求,耗盡伺服器的計算資源或資料庫連接,導致業務響應延遲、頁面載入緩慢,典型特徵包括QPS飆升和頻寬佔用增加。為保護暴露在公網的Elastic Compute Service執行個體免受此類攻擊,可為其開啟Web Application Firewall(Web Application Firewall,簡稱WAF)防護,有效抵禦CC攻擊,保障業務穩定運行。
適用範圍
ECS執行個體已部署Web服務,通過公網IP對外提供服務。
ECS執行個體位於以下地區:西南1(成都)、華北2(北京)、華北3(張家口)、華東1(杭州)、華東2(上海)、華南1(深圳)、華北1(青島)、中國(香港)、馬來西亞(吉隆坡)、印尼(雅加達)、新加坡。若不滿足以上要求,請使用CNAME接入。
步驟一:開通隨用隨付WAF執行個體
選擇資產類型為Web应用防火墙3.0,並選擇付費模式為按量付费後,完成如下配置。
配置項
說明
地域
決定WAF防護節點的位置,若部署網站的ECS執行個體位於中國內地,請選擇中國內地,其他情況下,請選擇非中國內地。
WAF版本
預設為隨用隨付版,無需配置。
流量計費保護閾值
保持預設值即可,後續支援修改。
服务关联角色
為了提供流量存取控制、監控分析等服務,WAF需要訪問您的雲端服務資源,請點擊创建服务关联角色,系統會自動建立角色AliyunServiceRoleForWaf,無需手動對此角色做任何修改。
單擊立即购买並完成下單。
步驟二:接入ECS執行個體
登入Web Application Firewall3.0控制台,在頂部功能表列選擇資源群組和地區(中國內地、非中國內地),然後在左側導覽列單擊接入管理。選擇雲產品接入頁簽,在左側雲產品類型列表,選擇云服务器 ECS。
在右側列表,找到目標ECS執行個體,在操作列單擊立即接入。如果找不到目標執行個體,請單擊頁面右上方同步最新資產,若仍無法找到,說明執行個體不滿足適用範圍。
在選擇需要添加的執行個體&連接埠地區,單擊操作列的添加連接埠。
在彈出的添加連接埠頁面,根據網站的連接埠與協議類型進行配置。
標準 HTTP 網站
若需接入的網站地址為
http://yourdomain.com,請選擇協議類型為HTTP,連接埠為 80。標準 HTTPS 網站
若需接入的網站地址為
https://yourdomain.com,請選擇協議類型為HTTPS,連接埠為 443。非標準連接埠網站
若需接入的網站地址明確包含連接埠號碼(格式為
網域名稱:連接埠號碼),則需按實際連接埠填寫。例如:http://yourdomain.com:8080,協議類型:HTTP,連接埠:8080。https://yourdomain.com:8443,協議類型:HTTPS,連接埠:8443。
HTTP協議
在連接埠地區,填寫網站使用的連接埠。
在協議類型地區,選擇HTTP。
HTTPS協議
在連接埠地區,填寫網站使用的連接埠。
在協議類型地區,選擇HTTPS。
保持HTTP2、TLS協議版本、加密套件、擴充認證配置為預設設定。
在預設認證地區,選擇認證上傳方式:
手動上傳:適用於認證未上傳至阿里雲Certificate Management Service (Original SSL Certificate)的情境。
選擇已有認證:從阿里雲Certificate Management Service (Original SSL Certificate)中選擇已簽發或已上傳的認證。
手動上傳
認證名稱:為認證設定一個唯一的名稱,不能與已上傳的認證名稱重複。
認證檔案:請使用文字編輯器開啟並粘貼 PEM、CER、CRT 格式的認證常值內容。
格式樣本:
-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----格式轉換:若認證是 PFX、P7B 等格式,請使用認證工具將其轉換為 PEM 格式。
憑證鏈結:若包含中間認證,請按照 “伺服器憑證、中間認證” 的順序拼接後粘貼。
私密金鑰檔案:請使用文字編輯器開啟並粘貼 PEM 格式的私密金鑰常值內容。
格式樣本:
-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----
選擇已有認證
從認證下拉式清單中選擇要上傳到WAF的認證。
說明若WAF控制台提示“憑證鏈結完整性校正失敗,使用該認證可能會影響您的業務訪問”,表示憑證鏈結存在完整性問題。請檢查認證內容的正確性與完整性後,在數位憑證管理服務控制台重新上傳。具體操作,請參見上傳、同步和共用SSL認證。
保持其他配置為預設設定,單擊確定。
(可選)查看防護對象:此時ECS執行個體已完成接入,WAF已自動建立一個名為
執行個體id-連接埠-資產類型的防護對象,並為該防護對象預設啟用Web核心防護規則等模組的防護規則,可以在頁面查看。
驗證基礎防護效果:在瀏覽器訪問ECS執行個體上託管的網站,並在其URL後附加Web攻擊測試代碼(例如
http://yourdomain.com/alert(xss)),若返回WAF的405攔截提示頁面,表示攻擊被攔截,WAF防護成功。
步驟三:配置CC防護規則
在左側導覽列,選擇。
在頁面下方CC防護地區,單擊建立模板。
在建立模板面板,完成以下配置。
配置項
說明
模板名稱
為該模板設定一個便於識別的名稱。
是否設定為預設範本
保持預設未開啟狀態。
防护模式
正常模式:僅攔截特徵顯著的異常請求,誤判率低。適用於日常業務運行及流量平穩情境。
严格模式:採用高強度檢測演算法,能有效阻斷CC攻擊,但誤判風險較高。僅在正常模式失效且出現響應延遲、資源(CPU/記憶體)負載異常時建議啟用。
說明严格模式僅適用於網頁(含H5)業務,請勿用於API介面或原生應用(Native App),以免造成大量誤攔截。
動作
定義請求命中防護規則後的處置方式,選擇JS挑戰。
生效對象
在待選擇對象地區勾選ECS執行個體對應的防護對象,單擊
表徵圖將其移至右側已选择地區。
單擊確定。
步驟四:查看攻擊防護資料
配置完成後,可以前往左側導覽列總覽頁面。查看防護總覽、攻擊情況Top10等資訊,進行業務安全分析。
請根據實際需求選擇後續操作:
進階最佳化:增強防護與成本控制
在本文提供的配置基礎上,若希望繼續使用WAF,可按以下方式進一步調整配置,以適配具體業務特徵,從而擷取更強的安全防護能力與更低的成本。
多模組協同防護:本文僅啟用CC防護模組,可結合以下多個防護模組實現協同防禦。
進階接入配置:WAF提供多種資源接入方式,可根據業務需求進行選擇。
雲產品接入ECS執行個體:本文採用此接入方式,旨在快速接入雲產品執行個體。如存在TLS版本、加密套件、多認證配置需求,請參見增強安全防護等級(HTTPS);如存在WAF前七層代理設定(如CDN)、流量標記等配置需求,請參見擷取真實用戶端資訊。
CNAME接入:通過網域名稱接入,適用情境更廣、使用限制更少、支援功能更多。
成本最佳化建議:
釋放資源停止計費
完成快速入門教程後,若不再需要在教程中開通的WAF,可以參照以下步驟關閉WAF停止計費。
計費提示:隨用隨付版WAF除請求處理費用外,還收取功能費用(包括WAF執行個體本身的費用等)。開通WAF後,無論是否接入資源,均會產生費用。若不再需要使用WAF,請及時關閉WAF執行個體。
CNAME接入注意事項:若僅通過本文所述雲產品方式接入,可忽略本項。若已配置CNAME接入,請在關閉WAF執行個體前,確保相關網站網域名稱的DNS解析已回切至來源站點。
前往左側導覽列總覽頁面,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
若顯示如下介面,請單擊右上方存取控制台。若未顯示如下介面,請跳過此步驟。
在頁面右側地區單擊關閉WAF,在頁面彈出的提示框中勾選相關內容後單擊確定。
