讓您全面了解并上手億速云產(chǎn)品
常見(jiàn)入門(mén)級使用教程
對外 API 開(kāi)發(fā)文檔中心
您歷史提交的工單
您的每一條意見(jiàn),我們都嚴謹處理
您的每一條建議,我們都認真對待
DDoS高防為已接入防護的網(wǎng)站業(yè)務(wù)提供頻率控制防護,支持限制源IP的訪(fǎng)問(wèn)頻率,以防御HTTP Flood攻擊(即CC攻擊)。頻率控制防護提供多種防護模式,供您在不同場(chǎng)景下調整使用。您也可以自定義頻率控制規則,限制單一源IP在短期內異常頻繁地訪(fǎng)問(wèn)某個(gè)頁(yè)面。
頻率控制防護提供不同的防護模式,允許您根據網(wǎng)站的實(shí)時(shí)流量異常調整頻率控制策略,具體包括以下模式。除了不同防護模式外,頻率控制防護還支持通過(guò)自定義防護規則進(jìn)行更精確的CC攻擊攔截。您可以為需要重點(diǎn)保護的URL自定義頻率控制策略,限制單一源IP在短期內異常頻繁地訪(fǎng)問(wèn)某個(gè)頁(yè)面。
防護模式 | 模式說(shuō)明 |
---|---|
正常(默認) | 網(wǎng)站無(wú)明顯流量異常時(shí)建議采用此模式。正常模式的頻率控制防護策略相對寬松,可以防御一般的CC攻擊,對于正常請求不會(huì )造成誤攔截。 |
攻擊緊急 | 當發(fā)現網(wǎng)站響應、流量、CPU、內存等指標出現異常時(shí),可切換至此模式。攻擊緊急模式的頻率控制防護策略相對嚴格。相比正常模式,此模式可以防護更為復雜和精巧的CC攻擊,但可能會(huì )對少部分正常請求造成誤攔截。 |
嚴格 | 嚴格模式的頻率控制防護策略較為嚴格。該模式會(huì )對被保護網(wǎng)站的所有訪(fǎng)問(wèn)請求實(shí)行全局級別的人機識別驗證,即針對每個(gè)訪(fǎng)問(wèn)者進(jìn)行驗證,只有通過(guò)認證的訪(fǎng)問(wèn)者才允許訪(fǎng)問(wèn)網(wǎng)站。 |
超級嚴格 | 超級嚴格模式的頻率控制防護策略非常嚴格。該模式會(huì )對被保護網(wǎng)站的所有訪(fǎng)問(wèn)請求實(shí)行全局級別的人機識別驗證,即針對每個(gè)訪(fǎng)問(wèn)者進(jìn)行驗證,只有通過(guò)認證的訪(fǎng)問(wèn)者才允許訪(fǎng)問(wèn)網(wǎng)站。相比于嚴格模式,超級嚴格模式所使用的全局算法認證在驗證算法中還增加反調試、反機器驗證等功能。 |
頻率控制防護各模式的防護效果排序依次為:超級嚴格模式 > 嚴格模式 > 攻擊緊急模式 > 正常模式。同時(shí),各防護模式導致誤攔截的可能性排序依次為:超級嚴格模式 > 嚴格模式 > 攻擊緊急模式 > 正常模式。
說(shuō)明:
- 對于嚴格模式的全局算法認證,如果是真人通過(guò)瀏覽器的訪(fǎng)問(wèn)請求均可以正常響應。但如果被訪(fǎng)問(wèn)網(wǎng)站的業(yè)務(wù)是API或原生App應用,將無(wú)法正常響應該算法認證,導致網(wǎng)站業(yè)務(wù)無(wú)法正常訪(fǎng)問(wèn)。
- 對于超級嚴格模式的全局算法認證,如果是真人通過(guò)瀏覽器的訪(fǎng)問(wèn)請求均可以正常響應(可能存在極少部分瀏覽器處理異常導致無(wú)法訪(fǎng)問(wèn),關(guān)閉瀏覽器后再次重試即可正常訪(fǎng)問(wèn))。但如果被訪(fǎng)問(wèn)網(wǎng)站的業(yè)務(wù)是API或原生App應用,將無(wú)法正常響應該算法認證,導致網(wǎng)站業(yè)務(wù)無(wú)法正常訪(fǎng)問(wèn)。
正常情況下,建議您為已接入防護的域名選擇正常頻率控制防護模式。該模式的防護策略較為寬松,只會(huì )針對訪(fǎng)問(wèn)頻次較大的IP進(jìn)行封禁。當您的網(wǎng)站遭遇大量HTTP Flood攻擊時(shí),且正常模式的安全防護效果已經(jīng)無(wú)法滿(mǎn)足要求,建議您切換至攻擊緊急模式或嚴格模式。
如果您的網(wǎng)站業(yè)務(wù)是API或原生App應用,由于無(wú)法正常響應嚴格模式中的相關(guān)算法認證,無(wú)法使用嚴格或超級嚴格模式進(jìn)行防護。因此,需要通過(guò)配置頻率控制防護自定義規則對被攻擊的URL配置針對性的防護策略,攔截攻擊請求。
匹配選項 | 說(shuō)明 |
---|---|
完全匹配 | 如果請求得uri地址與填寫(xiě)得uri完全相同,則觸發(fā)規則,執行對應得操作。注意:填寫(xiě)得URI如果沒(méi)有對應任何邏輯,同樣會(huì )觸發(fā)規則判斷。如:uri 為/abc ,但是項目中/abc實(shí)際業(yè)務(wù)邏輯不存在。如果請求/abc,該規則同樣觸發(fā)。 |
前綴匹配 | 如果請求的整個(gè)uri地址的前綴包含填寫(xiě)得uri,則觸發(fā)規則,執行對應得操作。如:實(shí)際請求的uri為/abcdefc,填寫(xiě)的uri為/abc.因為/abcdefc 前綴包含/abc,則觸發(fā)規則。注意:填寫(xiě)得URI如果沒(méi)有對應任何邏輯,同樣會(huì )觸發(fā)規則判斷。如:uri 為/abc ,但是項目中/abc實(shí)際業(yè)務(wù)邏輯不存在。如果請求/abc,該規則同樣觸發(fā)。 |
阻斷類(lèi)型 | 模式說(shuō)明 |
---|---|
拒絕 | 丟棄請求,請求不會(huì )回源。 |
人機識別 | 對請求作人機驗證,如通過(guò)驗證,則轉發(fā)請求至源站,否則丟棄請求。 |
封禁uri | 配合封禁時(shí)間,在封禁時(shí)間內,該客戶(hù)端對 /a 的所有請求,均將被丟棄。 |
封禁ip | 配合封禁時(shí)間,在封禁時(shí)間內,丟棄該客戶(hù)端的所有請求。 |
登錄高防IP控制臺,點(diǎn)擊網(wǎng)站防護。
找到要設置頻率控制的域名實(shí)例,單擊操作列的設置。
定位到頻率控制設置區域,打開(kāi)開(kāi)關(guān),選擇適當的內置模式,應用頻率控制防護。
登錄高防IP控制臺,點(diǎn)擊網(wǎng)站防護。
找到要設置頻率控制的域名實(shí)例,單擊操作列的設置。
定位到頻率控制設置區域,打開(kāi)開(kāi)關(guān),并單擊自定義規則。
為域名設置頻率控制防護規則。
新增規則
單擊列表左上方紅底白字添加規則按鈕。
在新增頻率控制規則對話(huà)框,完成規則配置,并單擊確定。
參數 | 說(shuō)明 |
---|---|
規則名稱(chēng) | 為該規則命名。 |
URI | 指定需要防護的具體地址,如/register 。支持在地址中包含參數,如/user?action=login 。 |
匹配規則 |
|
檢測時(shí)長(cháng) | 指定統計訪(fǎng)問(wèn)次數的周期。需要和單一IP訪(fǎng)問(wèn)次數配合。 |
單一IP訪(fǎng)問(wèn)次數 | 指定在檢測時(shí)長(cháng)內,允許單個(gè)源IP訪(fǎng)問(wèn)被防護地址的次數。 |
阻斷類(lèi)型 | 指定觸發(fā)條件后的操作(封禁、人機識別),以及請求被阻斷后阻斷動(dòng)作的時(shí)長(cháng)。
|
注意:
填寫(xiě)的URI如果沒(méi)有對應任何邏輯,同樣會(huì )觸發(fā)規則判斷。如:URI為/abc
,但是項目中/abc
實(shí)際業(yè)務(wù)邏輯不存在,當請求/abc
時(shí),該規則同樣觸發(fā)。
成功添加頻率控制自定義規則后,您可以根據需要繼續添加多條規則??蛻?hù)端觸發(fā)條件被攔截后見(jiàn)到的頁(yè)面如下所示。
編輯規則
在規則列表中,定位到要操作的規則,單擊其操作列下的編輯。
在編輯頻率控制規則對話(huà)框中,修改規則配置,并單擊確定。規則配置的描述見(jiàn)新增規則。
刪除規則
在規則列表中,定位到要刪除的規則,單擊其操作列下的刪除。
在刪除提示對話(huà)框中,單擊確定。