本文介紹基於Web Application Firewall (WAF)CC防護模組的應用程式層攻擊防禦方案。通過配置防護模式,支援一鍵啟用日常防護或執行緊急業務恢複,旨在攔截惡意CC攻擊( Challenge Collapsar 攻擊)並保障商務持續性。
關鍵概念
CC防護:Web核心防護中的防護模組之一。啟用此模組前必須建立防護模板,系統支援建立多個防護模板。
防護模板:防護模板用於定義具體的規則內容和作用範圍。建立防護模板時,需設定模板資訊、規則配置、生效對象。
模板資訊:定義模板類型,其類型在模板建立後不可更改。模板類型分為以下兩種:
模板類型
說明
適用情境
預設防護模板
訂用帳戶進階版、企業版及旗艦版WAF提供一個初始的預設防護模板。
模板建立時,預設對沒有關聯自訂防護模板的防護對象和對象組生效,後續新增的對象也自動生效。
支援手動將特定對象排除(設定為“未生效”)。
在CC防護模組下,僅能建立一個預設防護模板。
當某防護對象從自訂防護模板中移出後,將自動加入預設防護模板。
部署通用的、需全域執行的防護規則。
自訂防護模板
必須手動指定其生效的防護對象或對象組。
當某防護對象加入自訂模板時,系統自動將其移出預設範本。
針對特定業務部署精細化的防護規則。
規則配置:定義具體的防護規則。系統基於攻擊特徵庫內建多條檢測規則,使用者只需選擇防护模式及觸發後的響應動作,無需手動編寫複雜規則。
生效對象:指定防護模板的應用目標。通過生效對象設定,將防護規則應用到指定的防護對象或防護對象組。一個防護對象或對象組僅能關聯一個防護模板。
防護對象:每個接入 WAF 的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。
防護對象組:可將多個防護對象加入一個防護對象組,以便集中管理。
操作步驟
進入控制台:
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。在左側導覽列,選擇,在CC防護地區,單擊新建模板。
配置模板資訊:
模板名稱:設定一個便於識別的名稱。
是否設定為預設範本:在CC防護模組下,系統為訂用帳戶進階版、企業版及旗艦版WAF提供一個初始的預設防護模板,且僅能設定一個預設範本。因此,當初始的預設範本存在時,無法將此處設定為“是”。
是:無需設定生效對象,模板建立時,預設對沒有關聯自訂防護模板的防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。
否:需要設定生效對象,手動指定其生效的防護對象或對象組。
規則配置:
防护模式:提供正常模式與严格模式,各模式均內建多條防護規則。
正常模式:僅攔截特徵顯著的異常請求,誤判率低。適用於日常業務運行及流量平穩情境。
严格模式:採用高強度檢測演算法,能有效阻斷CC攻擊,但誤判風險較高。僅在正常模式失效且出現響應延遲、資源(CPU/記憶體)負載異常時建議啟用。
說明严格模式僅適用於網頁(含H5)業務,請勿用於API介面或原生應用(Native App),以免造成大量誤攔截。API或Native App情境建議採用自訂規則防護模板。
動作:定義請求命中防護規則後的處置方式。
JS挑戰:向用戶端下發JavaScript驗證指令,適用於常規防護情境。
觀察:不執行攔截操作,僅記錄命中日誌。適用於策略驗證、業務測試或試運行階段。
選擇生效對象:
選擇要應用於該模板的防護對象和防護對象組。模板的生效對象取決於在步驟二的配置:
使用系統建立的預設範本,或設定為預設範本:無需設定生效對象,模板建立時,預設對沒有關聯自訂防護模板的防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。
未設為預設範本:需要手動設定生效的防護對象和防護對象組。
說明模板建立時與建立完成後,均支援手動調整防護對象或防護對象組生效狀態。
應對誤判與漏攔截
防護模板配置完成後,若出現無法有效攔截CC攻擊或誤攔截正常業務流量的情況,請執行以下步驟以定位原因並調整配置。
正常模式下,攻擊未被攔截(防護無效)
當出現未被WAF攔截的攻擊請求時,通常由以下原因導致,請參照相應建議處理:
請求未經過WAF處理
原因:WAF配置的SSL認證或監聽連接埠與來源站點實際使用的不匹配。
建議:核對WAF與來源站點的SSL認證及連接埠配置。原因:CNAME接入時,未正確修改DNS解析記錄,使流量未指向WAF。
建議:確認DNS解析已正確指向WAF提供的CNAME地址。原因:CNAME接入時,攻擊者直接存取來源站點伺服器IP地址繞過WAF。
建議:通過在伺服器安全性群組中僅允許存取WAF回源IP地址解決。
原因:雲產品接入時,添加到 WAF 防護的並非網域名稱實際解析指向的雲產品執行個體。
建議:確認目標雲產品執行個體已正確接入。
請求經過WAF但規則未覆蓋
若業務已正確接入WAF,但正常模式的CC防護模板仍無法防禦CC攻擊,建議採取以下措施:
啟用严格模式:適用於遭受CC攻擊需緊急恢複業務時(僅限網頁與H5業務),為避免大規模誤攔截,建議提前基於聚類特徵將正常使用者加入白名單。
使用自訂規則防護模組:WAF支援對用戶端IP、訪問URI、User-Agent、地區等欄位設定防護策略,針對特定攻擊特徵進行精準防禦。但需要分析訪問日誌以總結攻擊特徵。
使用DDoS高防:面對高頻CC攻擊時,其峰值流量可能超過DDoS基礎防護的黑洞閾值,超過後WAF將進入黑洞無法訪問,此時需要使用DDoS高防進行防禦,更多資訊,請參見設定CC安全防護。
严格模式下,正常業務被誤攔截
若严格模式下的CC防護模板造成大量誤攔截,建議採取以下措施:
加白正常流量:基於聚類特徵將正常使用者加入白名單。
切回正常模式並使用自訂規則防護模組:WAF支援對用戶端IP、訪問URI、User-Agent、地區等欄位設定防護策略,針對特定攻擊特徵進行精準防禦。但需要分析訪問日誌以總結攻擊特徵。
使用DDoS高防:面對高頻CC攻擊時,其峰值流量可能超過DDoS基礎防護的黑洞閾值,超過後WAF將進入黑洞無法訪問,此時需要使用DDoS高防進行防禦,更多資訊,請參見設定CC安全防護。
日常營運
建立的CC防護模板預設開啟,可以在防護模板列表執行如下操作:
查看防護模板:單擊防護模板名稱左側的
表徵圖,查看該模板包含的規則資訊。開啟或關閉防護模板:通過模板開關,開啟或關閉模板。
編輯防護模板:單擊防護模板操作列的編輯,修改模板資訊、規則配置、生效對象等內容。
刪除防護模板:當不再需要某模板時,單擊防護模板操作列的刪除,並在彈出對話方塊中單擊刪除完成操作。
重要若某防護對象所屬的自訂防護模板被刪除,該防護對象將自動加入預設防護模板。
若預設防護模板被刪除,且其中仍包含防護對象,則這些防護對象將不再受CC防護規則保護。