当某个域名或接口被攻击者恶意访问时,查看日志发现存在大量伪造的非正常User-Agent,例如空值、随机字符串等,您可以参考本文介绍配置相关参数。
配置方法
参考配置自定义防护策略完成规则策略配置。
使用场景
异常UA拦截
针对App场景,正常业务为空UA,则无需使用该策略。
如果UA取值是App名称,需要将UA中正常业务的App名称加入匹配内容。
配置项 | 取值示例 | 说明 |
规则名称 | 您自定义的规则名称,支持使用中文字符、英文字符(大小写)、数字(0~9)及下划线(_),最大输入64个字符。 | 表示当请求的User-Agent中不包含 |
匹配条件 |
| |
频率设置 | 默认关闭。 | |
规则动作 | 选择拦截。 |
异常UA限速
某个域名或接口被攻击者大量访问导致DCDN流量费用突增,查看实时日志发现访问IP分散,但User-Agent非常集中,和正常业务不符。您可以查看未被攻击的时间段,同一个User-Agent的访问量远远低于被攻击时间段。
您需要根据自身业务和实时日志中攻击者特征和频次,调整防护路径和触发防护的阈值,以下是配置案例。
配置项 | 取值示例 | 说明 |
规则名称 | 您自定义的规则名称,支持使用中文字符、英文字符(大小写)、数字(0~9)及下划线(_),最大输入64个字符。 | 表示当被请求的路径中包含 |
匹配条件 |
| |
频率设置 | 打开频率设置开关。 | 表示如果某个客户端的请求中包含 |
统计对象 | 选择自定义Header,输入 | |
统计时长(秒) | 输入 | |
统计阈值(次) | 输入 | |
响应码 | 默认关闭。 | 表示将命中频率检测条件的统计对象加入黑名单,在1800秒内,对来自该对象的所有请求,执行拦截处置。 |
黑名单生效范围 | 选择作用于整个域名。 | |
黑名单超时(秒) | 输入 | |
规则动作 | 选择拦截。 |
自定义CC限速策略兜底
接口访问量突增会触发监控告警,查看实时日志时,在被攻击的时间段内,60秒内单IP对该接口访问量达到3000多次;在未被攻击时间段内,60秒内单IP访问该接口最多只有100次。根据未被攻击时间段内60秒内访问频次的2~3倍配置CC防护策略。
您需要查看实时日志,定位到被攻击的资源,对比攻击时间段和未被攻击时间段内的访问频率,若存在差距可以配置该防护策略。
正常业务中服务器通过公网接口调用资源,如果存在内网IP被集中访问,您需要添加IP不被统计的匹配条件。
您需要根据自身业务和实时日志中攻击者访问频次,调整防护路径和触发防护的阈值,以下是配置案例。
配置项 | 取值示例 | 说明 |
规则名称 | 您自定义的规则名称,支持使用中文字符、英文字符(大小写)、数字(0~9)及下划线(_),最大输入64个字符。 | 表示当被请求的路径中包含 |
匹配条件 |
| |
频率设置 | 打开频率设置开关。 | 表示如果某个客户端IP在60秒内命中匹配条件的次数超过300次,则对该IP触发黑名单处置。 |
统计对象 | 选择IP。 | |
统计时长(秒) | 输入 | |
统计阈值(次) | 输入 | |
响应码 | 默认关闭。 | 表示将命中频率检测条件的统计对象加入黑名单,在3600秒内,对来自该对象的所有请求,执行拦截处置。 |
黑名单生效范围 | 选择作用于整个域名。 | |
黑名单超时(秒) | 输入 | |
规则动作 | 选择拦截。 |
- 本页导读 (1)