DDoS高防为已接入防护的网站业务提供频率控制防护,支持限制源IP的访问频率。频率控制防护开启后自动生效,默认使用正常防护模式,帮助网站防御一般的CC攻击。频率控制防护提供多种防护模式,供您在不同场景下调整使用。您也可以自定义频率控制规则,限制单一源IP在短期内异常频繁地访问某个页面。

前提条件

  • 已在DDoS高防域名接入中配置要防护的网站业务。更多信息,请参见添加网站
  • 已开启新版防护设置。

背景信息

网站业务接入DDoS高防后,您可以为网站开启频率控制防护,防御HTTP Flood攻击(即CC攻击)。频率控制防护提供不同的防护模式,允许您根据网站的实时流量异常调整频率控制策略,具体包括以下模式。

  • 正常(默认):网站无明显流量异常时建议采用此模式。正常模式的频率控制防护策略相对宽松,可以防御一般的CC攻击,对于正常请求不会造成误杀。
  • 攻击紧急:当发现网站响应、流量、CPU、内存等指标出现异常时,可切换至此模式。攻击紧急模式的频率控制防护策略相对严格。相比正常模式,此模式可以防护更为复杂和精巧的CC攻击,但可能会对少部分正常请求造成误杀。
  • 严格:严格模式的频率控制防护策略较为严格。该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者进行验证,只有通过认证的访问者才允许访问网站。
    说明 对于严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应。但如果被访问网站的业务是API或原生App应用,将无法正常响应该算法认证,导致网站业务无法正常访问。
  • 超级严格:超级严格模式的频率控制防护策略非常严格。该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者进行验证,只有通过认证的访问者才允许访问网站。 相比于严格模式,超级严格模式所使用的全局算法认证在验证算法中还增加反调试、反机器验证等功能。
    说明 对于超级严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应(可能存在极少部分浏览器处理异常导致无法访问,关闭浏览器后再次重试即可正常访问)。但如果被访问网站的业务是API或原生App应用,将无法正常响应该算法认证,导致网站业务无法正常访问。

除了不同防护模式外,频率控制防护还支持通过自定义防护规则进行更精确的CC攻击拦截。您可以为需要重点保护的URL自定义频率控制策略,限制单一源IP在短期内异常频繁地访问某个页面。

设置频率控制防护模式

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略
  4. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  5. 定位到频率控制配置区域,选择要应用的内置模式正常攻击紧急严格超级严格),并开启状态开关,应用频率控制防护。CC安全防护

自定义频率控制防护规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略
  4. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  5. 定位到频率控制配置区域,开启自定义规则开关,并单击设置自定义规则,设置
  6. 为域名设置频率控制防护规则。CC自定义规则
    • 新增规则
      1. 单击新增规则
        说明 最多支持自定义20条规则。若规则数量达到限制,则新增规则不可操作。
      2. 新增规则对话框,完成规则配置,并单击确定新增规则
        参数 说明
        规则名称 为该规则命名。
        URI 指定需要防护的具体地址,如/register。支持在地址中包含参数,如/user?action=login
        匹配规则
        • 完全匹配:即精确匹配,请求地址必须与配置的URI完全一样才会被统计。
        • 前缀匹配:即包含匹配,只要是请求的URI以此处配置的URI开头就会被统计。例如,如果设置URI为/register,则/register.html会被统计。
        检测时长 指定统计访问次数的周期。需要和单一IP访问次数配合。
        单一IP访问次数 指定在检测时长内,允许单个源IP访问被防护地址的次数。
        阻断类型 指定触发条件后的操作(封禁、人机识别),以及请求被阻断后阻断动作的时长。
        • 封禁:触发条件后,直接断开连接。
        • 人机识别:触发条件后,用重定向的方式去访问客户端(返回200状态码),通过验证后才放行。例如,单个IP在20s内访问超过5次则进行人机识别判断,在10分钟内该IP的访问请求都需要通过人机识别,如果被识别为非法将会被拦截,只有被识别为合法才会放行。

      成功添加频率控制自定义规则后,您可以根据需要继续添加多条规则。

    • 编辑规则
      1. 在规则列表中,定位到要操作的规则,单击其操作列下的编辑
      2. 编辑规则对话框中,修改规则配置,并单击确定。规则配置的描述见新增规则,其中,规则名称URI不可更改。
    • 删除规则
      1. 在规则列表中,定位到要删除的规则,单击其操作列下的删除
      2. 在删除提示对话框中,单击确定
  7. 回到频率控制配置区域,开启状态开关,应用频率控制自定义规则。

频率控制防护设置最佳实践

频率控制防护各模式的防护效果排序依次为:超级严格模式 > 严格模式 > 紧急模式 > 正常模式。同时,各防护模式导致误杀的可能性排序依次为:超级严格模式 > 严格模式 > 紧急模式 > 正常模式。

正常情况下,建议您为已接入防护的域名选择正常频率控制防护模式。该模式的防护策略较为宽松,只会针对访问频次较大的IP进行封禁。当您的网站遭遇大量HTTP Flood攻击时,且正常模式的安全防护效果已经无法满足要求,建议您切换至攻击紧急模式或严格模式。

如果您的网站业务是API或原生App应用,由于无法正常响应严格模式中的相关算法认证,无法使用严格或超级严格模式进行防护。因此,需要通过配置频率控制防护自定义规则对被攻击的URL配置针对性的防护策略,拦截攻击请求。