tencent cloud

文档反馈

平台托管的速率限制规则(原 CC 攻击防护)

最后更新时间:2024-08-26 09:22:19

    概述

    CC(Collapse Challenge)攻击,即 HTTP/HTTPS DDoS 攻击。攻击者通过占用 Web 服务的连接和会话资源,导致服务无法正常响应用户请求,拒绝服务。为避免 CC 攻击,EdgeOne 提供了预设的 CC 攻击防护策略,并默认开启,确保您的站点稳定在线。
    说明: CC 攻击防护旨在保障业务可用性。对于不会造成源站错误或者站点可用性下降的安全场景,例如:盗刷资源、批量登录、购物车自动下单等场景,请使用 速率限制Bot 管理 进一步加固安全策略。
    EdgeOne 使用“干净流量”计费模式,即对于安全防护功能拦截的请求不进行计费,仅对通过安全防护功能处理后的流量和请求用量计费。对“干净流量”计费模式的定义请参考:关于“干净流量”计费说明

    使用平台托管的速率限制

    平台托管的速率限制通过速率基线学习、头部特征统计分析和客户端IP情报等方式识别 CC 攻击,并进行处置。EdgeOne 提供了预设的三种 CC 攻击防护策略:
    自适应频控:用于应对通过高频和大量并发的连接请求占用服务器资源的 CC 攻击行为,可基于单 IP 源限制访问频次限制。
    慢速攻击防护:用于应对通过大量慢速连接请求占用服务器资源的 CC 攻击行为,可基于单会话限制访问连接最低速率,淘汰慢速连接客户端。
    智能客户端过滤:融合了速率基线学习、头部特征统计分析和客户端 IP 情报,实时动态生成防护规则。针对来自高危客户端、或者携带高危头部特征的请求进行人机验证。智能客户端过滤默认开启且对符合规则的客户端执行 JavaScript 挑战。

    配置自适应频控

    自适应频控根据配置的限制等级,统计当前域名的请求速率,基于最近7天请求建立速率基线(速率基线每 24 小时更新),结合配置的限制等级,限制单个客户端访问该域名的请求速率。
    注意:
    自适应频控适用于 Web 类业务。当站点同时提供 API 接口服务时,为了防止频率较高的正常请求被拦截。建议为需要支持高频访问的 API 接口配置 防护例外规则,跳过 CC 攻击防护模块,同时通过配置 自定义速率限制规则 精准限制 API 接口暴露面,避免使用适中和紧急限制等级。

    操作步骤

    1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
    2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
    3. 定位到速率限制卡片,单击自适应频控右侧的编辑
    4. 配置自适应频控的限制等级和处置方式,各限制等级说明如下:
    限制类型
    限制等级
    适用场景
    自适应
    宽松(默认配置,推荐)
    适用于大部分 Web 业务场景。
    适中
    适用于页面内容较为简单,动态数据或动态加载内容较少的业务场景。
    紧急
    当攻击发生时,或者其他限制等级防护有防护透传造成业务影响时,可选择该限制等级进行紧急防护。由于该等级的速率限制较为严格,可能存在误杀风险,不建议长期使用。
    说明:
    自适应频控处置方式支持观察、拦截JavaScript 挑战两种方式,不同的处置方式说明详见:处置方式
    
    5. 单击保存,完成规则配置。

    配置慢速攻击防护

    通过限制最小请求速率和设置超时,缓解慢速传输等攻击场景对站点资源的消耗,避免服务可用性下降。EdgeOne 慢速攻击防护支持正文传输超时正文传输最小速率选项,当正文传输速率缓慢,或长时间无数据传输时,对客户端进行处置。

    操作步骤

    1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
    2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
    3. 定位到速率限制卡片,单击慢速攻击防护右侧的编辑
    4. 配置慢速攻击防护规则的匹配方式,可选以下限制:
    正文传输时长:缓解通过占用连接但不传输正文数据的慢速攻击方式。指定正文传输超时时长,超过配置时间未完成前 8KB 正文数据传输的客户端,将按指定方式处置;支持配置 5-120 秒。
    正文传输最小速率:缓解通过极慢速传输正文占用连接和会话资源的攻击。可指定最低传输速率,在统计时间窗口内传输的请求正文小于配置速率时,按指定方式处置,传输速率配置最小支持 1 bps,最大 100 Kbps。
    
    说明:
    慢速攻击防护处置方式,支持拦截、观察两种方式,不同的处置方式说明详情请参见 处置方式
    5. 单击保存,完成规则配置。

    智能客户端过滤

    融合了速率基线学习、头部特征统计分析和客户端 IP 情报,实时动态生成防护规则。针对来自高危客户端、或者携带高危头部特征的请求进行人机识别。智能客户端过滤默认开启且对符合规则的客户端执行 JavaScript 挑战。
    注意:
    智能客户端过滤使用业务速率基线作为参考之一,业务重大变更(接入、切量、新增业务、活动上新)时,业务基线可能造成误拦截,可将处置方式暂时修改为观察,待业务平稳后开启。
    智能客户端过滤仅标准版及企业版套餐支持。

    修改智能客户端过滤处置方式

    如果您需要修改触发智能客户端过滤后的处置方式,您可以参照以下操作步骤:
    1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
    2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
    3. 定位到速率限制卡片,单击单击智能客户端过滤右侧的编辑
    4. 配置处置方式。
    
    说明:
    智能客户端过滤处置方式支持关闭(不启用)观察拦截JavaScript 挑战四种方式,不同的处置方式说明请见处置方式
    5. 单击保存,完成规则配置。
    说明:
    查看命中智能客户端过滤规则请求,详情请见 Web 安全分析
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持