恶意IP惩罚帮助您自动封禁在短时间内进行多次Web攻击的客户端IP。

功能描述

传统的Web应用防火墙针对IP-URL维度进行拦截。当判定一个请求是攻击行为后,单次阻断该请求。而实际上,攻击者们可能持续不断地在对您的网站进行扫描、攻击,研究防护策略并尝试绕过防火墙,单次阻断的处理方式在这种情况下往往不够高效。

针对这种情况,云盾Web应用防火墙提供恶意IP惩罚功能。当一个IP被WAF识别到正在进行持续的攻击行为时,WAF自动封禁该恶意IP。

云盾WAF利用阿里云平台积累的海量恶意IP库和机器学习功能,对发起攻击的IP的行为、攻击频率进行学习分析,生成判定规则。当发起攻击的IP的行为被判定为持续攻击行为,直接阻断这个IP的所有访问请求。
说明 包年包月模式的WAF实例均支持恶意IP惩罚。按量付费的WAF实例必须在 功能与规格中为 Web攻击防护启用 高级防护,才能使用恶意IP惩罚。具体操作,请参考功能与规格配置

操作步骤

参照以下步骤,启用恶意IP惩罚功能:
说明 执行以下操作前,请确保已将网站接入WAF进行防护。具体操作请参考CNAME接入指南
  1. 登录云盾Web应用防火墙控制台
  2. 前往管理 > 网站配置页面,并在页面上方选择WAF所在地区(中国大陆、海外地区)。
  3. 选择要操作的域名,单击其操作列下的防护配置
  4. 恶意IP惩罚下,启用防护。默认的防护规则是:当WAF在1分钟内拦截到一个IP发动的2次Web攻击时,就封禁该IP的访问请求6分钟。
    说明 如果您不想使用恶意IP惩罚功能,您可以在此页面关闭防护。


测试示例

启用恶意IP惩罚后,当您的网站遭受扫描器扫描或黑客持续攻击时,WAF在很短的时间内就会识别并阻断攻击IP的所有访问行为,极大增加黑客的攻击成本。以下是启用该功能后的实际效果测试。

启用恶意IP惩罚功能后,使用黑客工具SQLMAP对已防护的网站进行SQL注入攻击扫描。