阿里云web防火墻如何配置防護(hù)CC攻擊

今天我們就來說說CC防護(hù)攻擊怎么配置規(guī)則。CC攻擊是DDOS（分布式拒絕服務(wù)）的一種，攻擊者通過代理服務(wù)器向受害主機(jī)大批量的發(fā)出合法的請(qǐng)求。

CC防護(hù)攻擊緊急模式

當(dāng)網(wǎng)站碰到CC攻擊的時(shí)候，我們一般想到的是第一時(shí)間的恢復(fù)網(wǎng)站的業(yè)務(wù)，但這個(gè)時(shí)候我們可以直接在web應(yīng)用防火墻上開啟CC防護(hù)攻擊緊急模式。開啟之后，能夠有效的對(duì)客戶端校驗(yàn)。

但是這個(gè)模式有一個(gè)注重的點(diǎn)就是他這個(gè)模式只能對(duì)Web應(yīng)用、網(wǎng)站應(yīng)用及H5頁面有效。對(duì)于API以及Native的App會(huì)造成大量的誤殺，所以這兩個(gè)應(yīng)用場景下是不支持攻擊緊急模式的。這種情況，我們建議的方案是使用CC自定義防護(hù)進(jìn)行防御。

CC自定義防護(hù)

那么隨著自定義的一個(gè)防御怎么來配置呢？有兩個(gè)步驟，一是先要從攻擊的日志中分析找到攻擊的特征。然后使用工具或者對(duì)應(yīng)的功能對(duì)我們發(fā)現(xiàn)的特征進(jìn)行封禁，從而達(dá)到保護(hù)的目的。

特征分析

我們先來看一下CC攻擊有哪些特征，一般情況下面很主要很明顯的特征是某個(gè)URL的請(qǐng)求異常的集中。另外一方面，他請(qǐng)求的源IP異常的集中。第三點(diǎn)，他請(qǐng)求的Refer或者user-agent異常的集中。有了這幾個(gè)概念之后，我們就可以根據(jù)這幾個(gè)概念去分析日志，獲取對(duì)應(yīng)的特征。

我們可以以下面這個(gè)為例，可以看一下對(duì)應(yīng)的時(shí)間段。

從這個(gè)日志的一個(gè)趨勢(shì)來看，其實(shí)是被打得挺厲害的，峰值時(shí)間很高的時(shí)候有13萬的QPS。那我們?cè)趺磥韺?duì)這種攻擊進(jìn)行分析呢？我們采用了SLS的日志服務(wù)，快捷的自動(dòng)化地進(jìn)行分析分析的過程。

requestURL分析

我們通過對(duì)requestURL進(jìn)行分析，可以看到他99%的請(qǐng)求全都請(qǐng)求了//index.php的路徑。這個(gè)請(qǐng)求占這么大的量絕對(duì)是有問題的，正常情況下面對(duì)比相同時(shí)間段，其實(shí)不會(huì)有這么大的量出現(xiàn)。那么我們要做的事情就是把惡意的請(qǐng)求給他分辨出來，然后把它攔截表對(duì)他進(jìn)行自定義的CC防護(hù)。

規(guī)則配置

配置規(guī)則的時(shí)候，對(duì)這個(gè)URL進(jìn)行完全匹配，然后配置我們檢測(cè)的周期是十秒或者五秒，然后對(duì)他進(jìn)行的檢測(cè)的次數(shù)，在這個(gè)時(shí)間范圍內(nèi)他訪問的次數(shù)十次或5次。然后對(duì)應(yīng)的主端動(dòng)作是可以是封禁，也可以是人機(jī)識(shí)別。很后是他封禁的時(shí)間，可以封禁他三十分鐘甚至更長。我的配置是采用封禁的策略，在十秒內(nèi)訪問五次就直接對(duì)他進(jìn)行封禁的一個(gè)動(dòng)作，從而達(dá)到對(duì)網(wǎng)站業(yè)務(wù)的一個(gè)防護(hù)。

這里可以看到還有一個(gè)是人機(jī)識(shí)別的阻斷類型，人機(jī)識(shí)別它是對(duì)客戶端的請(qǐng)求進(jìn)行一個(gè)腳印的一個(gè)過程，它會(huì)返回給客戶端一串尤其的代碼，可以理解為JS的代碼，讓客戶端去執(zhí)行。

假如能夠正常的執(zhí)行成功，那么說明這個(gè)客戶端是一個(gè)真實(shí)的客戶端。校驗(yàn)成功過后，我們對(duì)他進(jìn)行加白，讓他能夠正常訪問。假如不能執(zhí)行，那么這個(gè)客戶端我們不認(rèn)為他是一個(gè)正常的客戶端，會(huì)把他拉黑一段時(shí)間。這個(gè)時(shí)間就是我們配置上配的那個(gè)時(shí)間。

需要注重，在WAF前面假如有高防或者CDN的場景下，我們不建議使用封禁的策略，建議使用人機(jī)識(shí)別的策略。

經(jīng)過這段配置，其實(shí)我們的網(wǎng)站業(yè)務(wù)能夠得到一定的緩解，假如不能緩解的話，可以根據(jù)我們上面配置的一個(gè)策略進(jìn)行調(diào)整。由松到緊配置僅一點(diǎn)達(dá)到緩解業(yè)務(wù)的一個(gè)效果。

IP分析

得到一定緩解之后，我們繼續(xù)分析一只去分析更加正確的攻擊特征加以保護(hù)，提高我們防護(hù)的效果。

我們先看一下源IP是否有什么特征，我們可以源IP分布沒有什么特征，沒有在幾個(gè)段里面，然后去查市里面。其實(shí)各個(gè)市都有，也沒有市和省的維度，那這兩個(gè)不能作為一個(gè)明顯的一個(gè)特征去做防護(hù)。

refer或者user-agent分析

那么第三個(gè)我們?nèi)ネㄟ^refer或者user-agent去看，通過refer去看的時(shí)候，我這邊就不說了，因?yàn)闆]有尤其明顯的特征，但是我們?cè)偃タ磚ser-agent的時(shí)候，我們發(fā)現(xiàn)99%的請(qǐng)求都是來自于microsoft和Firefox瀏覽器的請(qǐng)求。

這個(gè)訪問比例與我們請(qǐng)求的request，index.php的請(qǐng)求比例是非常接近的，然后我們拿著這個(gè)user-agent去對(duì)比前一天相同時(shí)間段的請(qǐng)求，是否有這個(gè)user-agent。

前一天的相同時(shí)間段下沒有出現(xiàn)過類似這樣的一個(gè)UA。那么我們認(rèn)為當(dāng)前時(shí)間段出現(xiàn)這個(gè)UA的請(qǐng)求是異常的，是惡意的。那么我們針對(duì)這個(gè)UA進(jìn)行防護(hù)的時(shí)候，我們使用WAF的精準(zhǔn)防護(hù)，控制精準(zhǔn)的對(duì)這個(gè)UA進(jìn)行配置阻斷。

WAF的精準(zhǔn)防護(hù)配置

我們的配置方式是為了更加正確而使用兩個(gè)條件，一個(gè)是user-agent，讓它包含F(xiàn)irefox，另外一個(gè)是URL包含上述所說的index.php，同時(shí)滿足這兩個(gè)條件的，那我們市網(wǎng)站建設(shè)同時(shí)對(duì)他進(jìn)行阻斷的操作。

通過這種方式能夠有效的將所有惡意的請(qǐng)求排除在外。真正回到原站的請(qǐng)求都是我們判定是可信的一個(gè)請(qǐng)求，從而達(dá)到防護(hù)的效果。