阿里云web防火墙如何配置规则防护CC攻击?

简介:


阿里云的Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。


今天我们就来说说CC防护攻击怎么配置规则。CC攻击是DDOS(分布式拒绝服务)的一种,攻击者通过代理服务器向受害主机大批量的发出合法的请求。


image


CC防护攻击紧急模式
当网站遇到CC攻击的时候,我们一般想到的是第一时间的恢复网站的业务,但这个时候我们可以直接在web应用防火墙上开启CC防护攻击紧急模式。开启之后,能够有效的对客户端校验。


image


但是这个模式有一个注意的点就是他这个模式只能对Web应用、网站应用及H5页面有效。对于API以及Native的App会造成大量的误杀,所以这两个应用场景下是不支持攻击紧急模式的。这种情况,我们建议的方案是使用CC自定义防护进行防御。


CC自定义防护
那么随着自定义的一个防御怎么来配置呢?有两个步骤,一是先要从攻击的日志中分析找到攻击的特征。然后使用工具或者对应的功能对我们发现的特征进行封禁,从而达到保护的目的。
更多参考CC安全防护


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优

惠券可抵扣一部分费用。

特征分析
先来看一下CC攻击有哪些特征,一般情况下面最主要最明显的特征是某个URL的请求异常的集中。另外一方面,他请求的源IP异常的集中。第三点,他请求的Refer或者user-agent异常的集中。有了这几个概念之后,我们就可以根据这几个概念去分析日志,获取对应的特征。


我们可以以下面这个网站为例,可以看一下对应的时间段。


image


从这个日志的一个趋势来看,其实是被打得挺厉害的,峰值时间最高的时候有13万的QPS。那我们怎么来对这种攻击进行分析呢?我们采用了SLS的日志服务,快捷的自动化地进行分析分析的过程。


request URL分析


image


通过对request URL进行分析,可以看到他99%的请求全都请求了//index.php的路径。这个请求占这么大的量绝对是有问题的,正常情况下面对比相同时间段,其实不会有这么大的量出现。那么要做的事情就是把恶意的请求给他分辨出来,然后把它拦截表对他进行自定义的CC防护。


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优

惠券可抵扣一部分费用。

规则配置


image


配置规则的时候,对这个URL进行完全匹配,然后配置检测的周期是十秒或者五秒,然后对他进行的检测的次数,在这个时间范围内他访问的次数十次或5次。然后对应的主端动作是可以是封禁,也可以是人机识别。最后是他封禁的时间,可以封禁他三十分钟甚至更长。我的配置是采用封禁的策略,在十秒内访问五次就直接对他进行封禁的一个动作,从而达到对网站业务的一个防护。


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优

惠券可抵扣一部分费用。

这里可以看到还有一个是人机识别的阻断类型,人机识别它是对客户端的请求进行一个脚印的一个过程,它会返回给客户端一串特殊的代码,可以理解为JS的代码,让客户端去执行。


如果能够正常的执行成功,那么说明这个客户端是一个真实的客户端。校验成功过后,对他进行加白,让他能够正常访问。如果不能执行,那么这个客户端不认为他是一个正常的客户端,会把他拉黑一段时间。这个时间就是配置上配的那个时间。


需要注意,在WAF前面如果有高防或者CDN的场景下,不建议使用封禁的策略,建议使用人机识别的策略。


经过这段配置,其实网站业务能够得到一定的缓解,如果不能缓解的话,可以根据上面配置的一个策略进行调整。由松到紧配置仅一点达到缓解业务的一个效果。


IP分析


image


得到一定缓解之后,继续分析一只去分析更加精确的攻击特征加以保护,提高我们防护的效果。


先看一下源IP是否有什么特征,可以源IP分布没有什么特征,没有在几个段里面,然后去查市里面。其实各个市都有,也没有市和省的维度,那这两个不能作为一个明显的一个特征去做防护。


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优

惠券可抵扣一部分费用。

refer或者user-agent分析
第三个去通过refer或者user-agent去看,通过refer去看的时候,这边就不说了,因为没有特别明显的特征,但是再去看user-agent的时候,发现99%的请求都是来自于microsoft和Firefox浏览器的请求。


这个访问比例与请求的request,index.php的请求比例是非常接近的,然后拿user-agent去对比前一天相同时间段的请求,是否有这个user-agent。


前一天的相同时间段下没有出现过类似这样的一个UA。那么我们认为当前时间段出现这个UA的请求是异常的,是恶意的。那么我们针对这个UA进行防护的时候,我们使用WAF的精准防护,控制精准的对这个UA进行配置阻断。


WAF的精准防护配置


image


配置方式是为了更加准确而使用两个条件,一个是user-agent,让它包含Firefox,另外一个是URL包含上述所说的index.php,同时满足这两个条件的,那我们同时对他进行阻断的操作。


通过这种方式能够有效的将所有恶意的请求排除在外。真正回到原站的请求都是判断是可信的一个请求,从而达到防护的效果。
更多参阅web应用防火墙


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优

惠券可抵扣一部分费用。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
24天前
|
监控 网络协议 安全
华为配置防火墙直连路由器出口实验
华为配置防火墙直连路由器出口实验
|
2月前
|
监控 安全 数据可视化
浅谈下一代防火墙与Web应用防火墙的区别
浅谈下一代防火墙与Web应用防火墙的区别
32 0
|
2月前
|
网络安全 数据中心
百度搜索:蓝易云【Proxmox软件防火墙的配置教程】
现在,你已经完成了Proxmox软件防火墙的配置。请确保你的防火墙规则设置正确,以保护你的Proxmox VE环境免受未经授权的访问和网络攻击。
127 5
|
4天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
4天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
31 14
|
20天前
|
监控 安全 数据可视化
防火墙是什么?谈谈部署Web防火墙重要性
防火墙是什么?谈谈部署Web防火墙重要性
16 0
|
26天前
|
运维 Linux 应用服务中间件
Centos7如何配置firewalld防火墙规则
Centos7如何配置firewalld防火墙规则
39 0
|
1月前
|
SQL 弹性计算 负载均衡
10分钟将您的Web应用接入防火墙
如果您现在拥有一个Web应用,并且有安全诉求,请阅读本文。
10分钟将您的Web应用接入防火墙
|
1月前
|
弹性计算 负载均衡 数据库
2024阿里云服务器试用规则及云产品试用常见问题解答
2024年阿里云服务器可以试用吗?不仅是云服务器产品,包括无影云电脑、云数据库 RDS、统型负载均衡 CLB、对象存储 OSS、文件存储 NAS等云产品都是可以试用的,只是需要注意的是,我们在试用云服务器产品之后,免费试用权益无法与新用户优惠购买活动同享,也就是说,领取了云服务器ECS免费试用权益的用户,将不能参产品新用户的相关活动。本文为大家介绍2024年阿里云服务器和其他云产品的试用规则及试用常见问题解答。
2024阿里云服务器试用规则及云产品试用常见问题解答
|
2月前
|
缓存 安全 网络安全
【网络安全】Web缓存欺骗攻击原理及攻防实战
【网络安全】Web缓存欺骗攻击原理及攻防实战
44 0
【网络安全】Web缓存欺骗攻击原理及攻防实战