阿裡雲web防火牆如何配置規則防護CC攻擊？

阿裡雲的Web應用防火牆對網站或者APP的業務流量進行惡意特征識别及防護，将正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵，保障業務的核心資料安全，解決因惡意攻擊導緻的伺服器性能異常問題。

今天我們就來說說CC防護攻擊怎麼配置規則。CC攻擊是DDOS（分布式拒絕服務）的一種，攻擊者通過代理伺服器向受害主機大批量的發出合法的請求。

CC防護攻擊緊急模式

當網站遇到CC攻擊的時候，我們一般想到的是第一時間的恢複網站的業務，但這個時候我們可以直接在web應用防火牆上開啟CC防護攻擊緊急模式。開啟之後，能夠有效的對用戶端校驗。

但是這個模式有一個注意的點就是他這個模式隻能對Web應用、網站應用及H5頁面有效。對于API以及Native的App會造成大量的誤殺，是以這兩個應用場景下是不支援攻擊緊急模式的。這種情況，我們建議的方案是使用CC自定義防護進行防禦。

CC自定義防護

那麼随着自定義的一個防禦怎麼來配置呢？有兩個步驟，一是先要從攻擊的日志中分析找到攻擊的特征。然後使用工具或者對應的功能對我們發現的特征進行封禁，進而達到保護的目的。

更多參考

CC安全防護 點我領取阿裡雲2000元代金券

，（阿裡雲優惠券的作用：購買阿裡雲産品，最後支付結算的時候，阿裡雲優

惠券可抵扣一部分費用。

特征分析

先來看一下CC攻擊有哪些特征，一般情況下面最主要最明顯的特征是某個URL的請求異常的集中。另外一方面，他請求的源IP異常的集中。第三點，他請求的Refer或者user-agent異常的集中。有了這幾個概念之後，我們就可以根據這幾個概念去分析日志，擷取對應的特征。

我們可以以下面這個網站為例，可以看一下對應的時間段。

從這個日志的一個趨勢來看，其實是被打得挺厲害的，峰值時間最高的時候有13萬的QPS。那我們怎麼來對這種攻擊進行分析呢？我們采用了SLS的日志服務，快捷的自動化地進行分析分析的過程。

request URL分析

通過對request URL進行分析，可以看到他99%的請求全都請求了//index.php的路徑。這個請求占這麼大的量絕對是有問題的，正常情況下面對比相同時間段，其實不會有這麼大的量出現。那麼要做的事情就是把惡意的請求給他分辨出來，然後把它攔截表對他進行自定義的CC防護。

規則配置

配置規則的時候，對這個URL進行完全比對，然後配置檢測的周期是十秒或者五秒，然後對他進行的檢測的次數，在這個時間範圍内他通路的次數十次或5次。然後對應的主端動作是可以是封禁，也可以是人機識别。最後是他封禁的時間，可以封禁他三十分鐘甚至更長。我的配置是采用封禁的政策，在十秒内通路五次就直接對他進行封禁的一個動作，進而達到對網站業務的一個防護。

這裡可以看到還有一個是人機識别的阻斷類型，人機識别它是對用戶端的請求進行一個腳印的一個過程，它會傳回給用戶端一串特殊的代碼，可以了解為JS的代碼，讓用戶端去執行。

如果能夠正常的執行成功，那麼說明這個用戶端是一個真實的用戶端。校驗成功過後，對他進行加白，讓他能夠正常通路。如果不能執行，那麼這個用戶端不認為他是一個正常的用戶端，會把他拉黑一段時間。這個時間就是配置上配的那個時間。

需要注意，在WAF前面如果有高防或者CDN的場景下，不建議使用封禁的政策，建議使用人機識别的政策。

經過這段配置，其實網站業務能夠得到一定的緩解，如果不能緩解的話，可以根據上面配置的一個政策進行調整。由松到緊配置僅一點達到緩解業務的一個效果。

IP分析

得到一定緩解之後，繼續分析一隻去分析更加精确的攻擊特征加以保護，提高我們防護的效果。

先看一下源IP是否有什麼特征，可以源IP分布沒有什麼特征，沒有在幾個段裡面，然後去查市裡面。其實各個市都有，也沒有市和省的次元，那這兩個不能作為一個明顯的一個特征去做防護。

refer或者user-agent分析

第三個去通過refer或者user-agent去看，通過refer去看的時候，這邊就不說了，因為沒有特别明顯的特征，但是再去看user-agent的時候，發現99%的請求都是來自于microsoft和Firefox浏覽器的請求。

這個通路比例與請求的request，index.php的請求比例是非常接近的，然後拿user-agent去對比前一天相同時間段的請求，是否有這個user-agent。

前一天的相同時間段下沒有出現過類似這樣的一個UA。那麼我們認為目前時間段出現這個UA的請求是異常的，是惡意的。那麼我們針對這個UA進行防護的時候，我們使用WAF的精準防護，控制精準的對這個UA進行配置阻斷。

WAF的精準防護配置

配置方式是為了更加準确而使用兩個條件，一個是user-agent，讓它包含Firefox，另外一個是URL包含上述所說的index.php，同時滿足這兩個條件的，那我們同時對他進行阻斷的操作。

通過這種方式能夠有效的将所有惡意的請求排除在外。真正回到原站的請求都是判斷是可信的一個請求，進而達到防護的效果。

更多參閱

web應用防火牆