00:03
大家好,欢迎大家来到腾讯云开发者社区,腾讯云at one团队共同打造的a one一站式玩转网站加速与防护实战营的第三章第三节。我是腾讯云产品经理马乐新,今天我们来讲解如何使用h one防范网站CC攻击。首先是背景介绍。CC攻击是一种通过大量请求占用服务器资源,使其无法为正常用户提供服务的攻击手段。这类攻击通常会导致网站响应缓慢,甚至完全瘫痪。CC攻击主要用于消耗服务器资源。每个人都有这样的体验,当一个网页访问的人数特别多的时候,打开网页就慢了。CC攻击就是模拟多个用户不停的进行访问那些需要大量数据操作。比如说需要大量CPU时间的页面,造成服务器资源的浪费。
01:04
使CPU长时间处于百分百永远都有处理不完的链接,直至网络拥塞,导致正常用户无法建立正常链接。CC攻击可以分为三种主要类型。直接攻击是最简单和直接的攻击方式,攻击者针对有明显漏洞和缺陷的外部应用程序发起大量请求。一般来说,这种攻击方式较为少见的。第二种僵尸网络攻击与DDOS攻击较为相似,攻击者利用一大批受控的计算机,也就是僵尸网络,向目标网站发起海量请求。这种攻击方式往往超出外部应用程序层的防御能力。因此。难以防御,攻击者可以通过僵尸网络在短时间内发起巨量请求,压垮服务器。第三种代理攻击是CC攻击中最为常见的一种方式。攻击者利用多个代理服务器,每个代理服务器发起一定数量的请求。比如说,攻击者可以控制100个代理服务器,每个代理服务器同时发出10个请求,这样一来,目标服务器就会收到1000个并发请求。攻击者在发出请求后,迅速断开与代理服务器的链接,以避免占用代理服务器的带宽。
02:17
这就像在食堂排队一样,平时可能只有不到10个人排队,但今天突然有一个人插队,那么你得到服务的时间就会大大延长。这种情况下,网站就会出现页面打开极慢或完全无法访问的情况。CC攻击对网站的影响是巨大的,它不仅让真实用户无法访问网站,还会让访问速度变得极慢,导致用户体验极差。这种情况下,用户很可能离开网站,造成流量严重下降。这对于依赖在线业务的企业来说,可能会造成较大损失。接下来讲解h one平台托管的速率限制规则。
03:01
平台托管的速率限制,通过速率机械学习、头部特征统计分析和客户端IP情报等方式识别CC攻击并进行处置。Hne提供了预设的3种防护策略。自适应频控用于应对通过高频和大量并发的连接请求占用服务器资源的CC攻击行为,可基于单IP源限制、访问频次限制。慢速攻击防护用于应对通过大量慢速连接请求占用服务器资源的CC攻击行为。基于单对话限制访问连接最低速率,淘汰慢速连接服务端。客户端智能过滤融合了速率机械学习、头部特征统计分析和客户端IP情报实时动态生成防护规则。针对来自高危客户端或者携带高危头部特征的请求进行人机验证。智能客户端过滤默认开启,并且对符合规则的客户端执行javascript挑战。
04:00
请注意,针对有可能被误伤的接口或IP,您可以通过配置防护例外规则将其统一加白,绕过速率限制防护模块。H one平台托管的速率限制,通过速率机械学习、头部特征分析和客户端IP情报等方式识别CC攻击并进行处置。其中,自适应贫控根据配置的限制等级统计当前域名的请求速率,基于最近7天请求建立速率基线,结合配置的限制等级,限制单个客户端访问该域名的请求速率。在网站疑似遭受CC攻击或出现异常请求激增用量告警时,建议临时将自适应频控限制等级调整为紧急级别,处置方式为javascript挑战。智能客户端过滤是CC防护的一个强大工具,适合面对复杂和不断演变的攻击模式。它不仅能有效阻止大多数CC攻击,还能最大限度的减少对正常用户的影响。
05:09
智能客户端顾虑处置方式,支持观察拦截和javascript挑战。以及不启用四种方式。接下来为大家进行操作演示。首先定位到速率限制卡片。开启智能客户端过滤。单击下方的编辑。调整策略灵敏度为动态处置方式选为javascript挑战。单击保存规则将部署生效。让我们回到PPT。请注意智能客户端过滤,使用业务速率基线作为参考之一。业务的重大变更,比如接入切量、新增业务活动上新时业务基线可能造成误拦截,可以将处置方式暂时修改为观察,待业务平稳后再开启为javascript挑战。
06:12
One慢速攻击防护,支持正文传输超时和正文传输最小速率选项。当正文传输速率缓慢或长时间无数据传输时,对客户端进行处置。通过限制最小传输速率和设置超时,缓解慢速传输等攻击场景对站点资源的消耗,避免服务的可用性下降。正文传输超时是指攻击者故意发送不完整的HTTP请求体或极其缓慢的发送请求体的情况。通过设置一个合理的超时时间,可以快速释放被占用的服务器资源。正常用户通常会在短时间内完成请求的发送,而攻击者可能会故意延长这个过程来耗尽服务器资源。正文传输最小速率,进一步细化了对慢速攻击的防护。
07:03
他不仅考虑总的传输时间,还考虑了传输速率。即使攻击者试图在超时时间内完成传输,但如果传输速率过低,也会被识别为潜在的攻击行为。一旦检测到违反上述规则的请求,系统会立即进行拦截,防止这些请求继续占用资源。接下来为大家操作演示。首先定位到速率限制。单击慢速攻击防护下方的编辑。开启正文传输超时。配置正文传输超时时长。开启正文传输最小速率。配置速率阈值。选择处置方式为拦截。单击保存规则将部署生效。让我们回到PPT。接下来介绍自定义速率限制规则。
08:06
H one的自定义速率限制规则支持多个条件组合匹配请求,精准限制请求速率,适用于各种场景下,用于区分正常用户访问和恶意的高频访问。为预防CC攻击,您可以设置自定义速率限制规则,当一个IP在30秒内访问当前域名下任意路径的次数超过1000次,则封禁该IP请求10个小时。这样的规则可以作为一般中小型站点的预防性配置,以应对恶意流量和保护服务器资源。接下来大家操作演示。首先定位到速率限制卡片。单击精准速率限制下的添加规则。填写规则名称,单击添加。
09:09
对,请求路径包含斜杠。对客户端IP进行统计。技术值在30秒内超过1000次时。触发处置方式为javascript挑战。处置持续时间为10小时。单击保存并发布。规则将部署生效。让我们回到PPT。另一种常见场景是对登录接口进行CC防护。为预防登录接口受到恶意高频撞库攻击的影响,可以配置请求路径,包含login PHP 60秒内超过20次请求,封禁该客户端IP1小时。以应对短时间内频繁的请求,保护登录接口的安全。
10:03
接下来为大家操作演示。首先定位到速率限制卡片。单击精准速率限制下的添加规则。对请求路径包含login PHP的请求,统计客户端IP。对,技术值在1分钟内超过。20次的请求。执行处置方式为拦截处置,持续时间为1小时。
11:00
单击保存并发布,规则将部署生效。让我们回到PPT。以上就是网站安全防护实战第三节如何使用h one防范CC攻击的全部内容,感谢大家观看。在下一讲中,我们将为大家带来在网站遭受恶意爬取时,如何使用I one进行应对。
我来说两句