当您的网站遭受恶意CC攻击响应缓慢时,通过频次控制功能,可以秒级阻断访问该网站的请求,提升网站的安全性。通过本文您可以了解访问频次的配置方法。
背景信息
目前CDN频次控制功能需要您申请开通,如需开通请加入以下钉钉群:
- 一群:23184221(已满)。
- 二群:33298914。
操作步骤
- 登录CDN控制台。
- 在左侧导航栏,单击域名管理。
- 在域名管理页面,单击目标域名对应的管理。
- 在指定域名的左侧导航栏,单击安全配置。
- 在频次控制页面,打开频次控制设置开关。
- 单击修改配置。
- 在频次控制对话框,打开参数检测开关,并选择控制模式。
参数 说明 参数检测 当您开启参数检测开关时,频次控制规则中的URI会带上完整的参数进行匹配。参数检测仅与URI匹配相关,与自定义规则中的匹配规则无关。 控制模式 您可以选择以下控制模式: - 正常
默认频次控制模式。当您的网站流量无明显异常时,采用该模式,避免误杀。
- 紧急
当您的网站响应缓慢,且流量、CPU、内存等指标异常时,采用该模式。
- 自定义
当您需要根据所需自定义频次控制规则时,采用该模式。自定义模式不提供任何后台规则策略,按照用户自定义规则进行匹配。配置自定义规则的操作方法,请参见步骤8。
- 正常
- 当您控制模式选择为自定义时,需要配置自定义规则。
- 单击自定义规则对应的添加规则。说明 CDN控制台上最多支持添加5条自定义规则。
- 根据界面提示和如下表格配置自定义规则。
参数 说明 规则名称 规则名称长度为4~30个字符,支持英文、数字,同一域名中规则名称不可重复。 URI 指定需要防护的具体地址,例如: /register
。支持在地址中包含的参数,同时需要打开参数检测开关才可生效,例如:/user?action=login
。匹配方式 您可以选择以下匹配规则: 默认按照完全匹配、前缀匹配、模糊匹配的顺序排序并执行。您可在同类规则中进行优先级调整,优先级按列表顺序排序,执行规则时按照优先级进行执行。 - 完全匹配
即精确匹配,请求地址必须与配置的URI完全一样才会被统计。
- 前缀匹配
即包含匹配,只要是请求的URI以此处配置的URI开头就会被统计。例如,如果设置URI为
/register
,则/register.html
会被统计。 - 模糊匹配
即根据表达式匹配,当请求的URI与此处的表达式匹配就会被统计。模糊匹配仅支持英文句号(.)和星号(*)匹配,英文句号(.)表示匹配任何单个字符,星号(*)表示匹配任意重复字符。
检测时长 指定统计访问次数的周期。需要和检测对象配合。检测时长大于等于10秒,小于等于600秒。 检测及阻断对象 频次控制支持的检测对象如下: - 源IP
- 请求Header中指定字段
- 访问域名
- 请求URL中指定参数
匹配规则 您可以单击添加规则,配置规则的类型、参数、逻辑符和值。 阻断类型 指定触发条件后的操作(封禁、人机识别),以及请求被阻断后阻断动作的时长。 - 封禁
触发条件后,直接返回403。
- 人机识别
触发条件后,用重定向的方式去访问客户端(返回200状态码),通过验证后才放行。例如,单个IP在20秒内访问超过5次则进行人机识别判断,在10分钟内该IP的访问请求都需要通过人机识别,如果被识别为非法将会被拦截,只有被识别为合法才会放行。
阻断时长 阻断时间大于等于60秒。 自定义规则场景样例,如下表所示。场景 检测对象 检测时长 匹配规则 阻断类型 阻断时长 4xx/5xx异常 IP 10秒 "status_ratio|404">60%
&&"count">50
封禁 10分钟 QPS异常 域名 10秒 "count">N
人机识别 10分钟 说明 N表示可以取任意值,您可以根据业务所需设置。 - 完全匹配
- 单击确定。
- 单击自定义规则对应的添加规则。
在文档使用中是否遇到以下问题
更多建议
匿名提交