DDoS高防为已接入防护的网站业务提供频率控制防护,通过限制源IP的访问频率以防御HTTP Flood攻击(即CC攻击),也支持您自定义频率控制规则,限制单一源IP在短期内异常频繁地访问某个页面。本文介绍如何设置频率控制。

配置说明

通常情况下,建议您为已接入防护的网站业务开启频率控制,针对访问频次较高的异常IP进行封禁。如果您的网站业务是API或原生App应用,建议您同时自定义频率控制防护规则,针对被攻击的URL配置相应的防护策略,拦截攻击请求。

前提条件

  • 已购买DDoS高防(新BGP)实例或DDoS高防(国际)实例。具体操作,请参见购买DDoS高防实例
  • 已将网站业务接入DDoS高防(新BGP)实例或DDoS高防(国际)实例。具体操作,请参见添加网站

开启频率控制防护

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略,然后单击网站业务DDoS防护页签。
  4. 网站业务DDoS防护页签的左侧域名列表中,选择目标域名后,单击页面右下角的频率控制区域的状态开关,开启频率控制防护。

自定义频率控制防护规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略,然后单击网站业务DDoS防护页签。
  4. 网站业务DDoS防护页签的左侧域名列表中,选择目标域名后,开启页面右下角的频率控制区域的状态开关和自定义规则开关。
    重要 状态开关为开启状态时,配置的自定义规则才会生效。
  5. 单击自定义规则后的设置,为域名设置频率控制防护规则。
    • 新增规则
      单击新增规则,在新增规则对话框完成规则配置,然后单击确定
      说明 最多支持自定义20条规则。若规则数量达到限制,则新增规则不可操作。
      参数说明
      规则名称自定义规则名称。
      URI指定需要防护的具体地址,如/register。支持在地址中包含参数,如/user?action=login
      匹配规则
      • 完全匹配:即精确匹配,请求地址必须与配置的URI完全一样才会被统计。
      • 前缀匹配:即包含匹配,只要是请求的URI以此处配置的URI开头就会被统计。例如,如果设置URI为/register,则/register.html会被统计。
      检测时长指定统计访问次数的周期。需要和单一IP访问次数配合。
      单一IP访问次数指定在检测时长内,允许单个源IP访问被防护地址的次数。
      阻断类型指定触发条件后的操作(封禁、人机识别),以及请求被阻断后阻断动作的时长。
      • 封禁:触发条件后,直接断开连接。
      • 人机识别:触发条件后,用重定向的方式去访问客户端(返回200状态码),通过验证后才放行。例如,单个IP在20s内访问超过5次则进行人机识别判断,在10分钟内该IP的访问请求都需要通过人机识别,如果被识别为非法将会被拦截,只有被识别为合法才会放行。
    • 编辑规则
      在规则列表中定位到要操作的规则,单击操作列的编辑,在编辑规则对话框中修改规则配置,然后单击确定
      说明 规则名称URI不支持修改。
    • 删除规则

      在规则列表中定位到要删除的规则,单击操作列的删除,在删除提示对话框中单击确定