DDoS高防IP服务针对HTTP(S) flood攻击(CC攻击)提供四种防护模式供您选择。

  • 正常模式:默认的CC安全防护模式。网站无明显流量异常时建议采用此模式。

    正常模式的CC攻击防护策略相对宽松,可以防御一般的CC攻击,对于正常请求不会造成误杀。

  • 攻击紧急模式:当发现网站响应、流量、CPU、内存等指标出现异常时,可切换至此模式。

    攻击紧急模式的CC攻击防护策略相对严格。相比正常模式,此模式可以防护更为复杂和精巧的CC攻击,但可能会对少部分正常请求造成误杀。

  • 严格模式:严格模式的CC攻击防护策略较为严格。同时,该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者进行验证,只有通过认证后访问者才允许访问网站。
    说明 对于严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应;但如果被访问网站的业务是API或原生app应用,将无法正常响应该算法认证,导致网站业务无法正常访问。
  • 超级严格模式:超级严格模式的CC攻击防护策略非常严格。同时,该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者都将进行验证,只有通过认证后后才允许访问网站。

    相比于严格模式,超级严格模式所使用的全局算法认证在验证算法中还增加反调试、反机器验证等功能。

    说明 对于超级严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应(可能存在极少部分浏览器处理异常导致无法访问,关闭浏览器后再次重试即可正常访问);但如果被访问网站的业务是API或原生app应用,将无法正常响应该算法认证,导致网站业务无法正常访问。

DDoS高防IP服务的CC安全防护功能支持防护模式自动切换,即根据您为被防护网站域名所设定的QPS阈值自动切换CC安全防护模式。

当所防护的网站的QPS值超过您所设定的QPS阈值且持续一段时间后,将自动触发CC安全防护模式的切换,从当前的防护模式自动切换至指定防护模式(例如,严格模式或超级严格模式);当网站的QPS值恢复到所设定的QPS阈值以下且持续一段时间后,CC安全防护模式将自动恢复至切换前的防护模式(例如,正常模式)。
说明 如果您需要启用CC安全防护模式的自动切换功能,请提交工单申请开通。

操作步骤

默认情况下,您的高防IP实例所防护的网站域名采用正常CC安全防护模式,您可以根据实际情况自由调整防护模式。
  1. 登录云盾DDoS防护管理控制台
  2. 定位到防护 > 防护设置 > Web攻击防护页面,选择高防IP实例,选择已接入防护的域名。
    说明 您也可以定位到 接入 > 网站页面,找到您已接入防护的域名,单击安全防护栏中的 防护设置,跳转到Web攻击防护设置页面。
  3. 定位到CC安全防护区块,选择CC攻击防护模式。

自定义规则

DDoS高防IP服务的CC安全防护功能还支持通过自定义防护规则进行更精准的HTTP Flood攻击拦截。您可以通过自定义CC攻击防护规则,针对需要重点保护的URL配置防护策略。

您可以在已接入防护的域名的Web攻击防护设置页面,定位到 CC安全防护区块,启用自定义规则防护,并单击 设置来配置自定义CC防护规则。

CC安全防护设置最佳实践

CC安全防护各模式的防护效果排序依次为:超级严格模式 > 严格模式 > 紧急模式 > 正常模式。同时,各防护模式导致误杀的可能性排序依次为:超级严格模式 > 严格模式 > 紧急模式 > 正常模式。

正常情况下,建议您为已接入防护的域名选择正常CC安全防护模式。该模式的防护策略较为宽松,只会针对访问频次较大的IP进行封禁。当您的网站遭遇大量HTTP Flood攻击时,且正常模式的安全防护效果已经无法满足要求,建议您切换至攻击紧急模式或严格模式。

说明
  • 如果您的网站业务是API或原生APP应用,由于无法正常响应严格、超级严格模式中的相关算法认证,无法使用严格或超级严格模式进行防护。因此,需要通过配置CC安全防护自定义规则对被攻击的URL配置针对性的防护策略拦截攻击请求。
  • 如果您网站本身有其他第三方支付回调,或者服务器、端回调,一般无法正常响应严格、超级严格模式中的相关算法认证,需要整理相关回调IP,加入到网站防护设置中的白名单。