Skip to Content
操作指南防护设置CC 规则

CC 规则

CC 规则可以对请求进行限流,防止出现大量请求直接回源到源站造成源站网络拥堵或 CPU 使用率飙升的情况。

各类规则的优先级参见规则优先级

CC 防护模式和状态

CC 防护模式包括正常模式和紧急模式:

  • 正常:仅自定义规则生效(无自定义规则的话则只有默认规则生效)。
  • 紧急:不仅自定义规则会生效,并且 UWAF 将根据数据分析、人工智能识别等技术对异常频率的请求进行拦截,但可能存在误杀。紧急模式下 UWAF 将根据攻击特点进行自动拦截,并且会对请求加入 cookie 参数进行校验。如果网站存在 301 跳转,不建议开启紧急模式。

CC 状态默认是开启,此时如果用户没有配置 CC 规则,则会有一条默认规则生效,默认规则为:单个 IP 在 1 分钟内的请求数超过 500 次则拦截该 IP 的请求 10 分钟。此默认规则在用户没有添加自定义 CC 规则的情况下强制开启。如果用户添加任意一条自定义 CC 规则,则默认规则不生效。若 CC 状态为关闭,UWAF 将不提供 CC 防护能力,请谨慎选择

对于所有的 CC 规则,CC 防护引擎会统计任何一个请求,但当触发规则后不会拦截常见静态类型的文件的访问,具体的文件类型有 css, ico, png, jpg, js, gif ,如需开启此类文件的拦截,请咨询技术支持。

自定义 CC 规则列表

CC 规则列表展示了用户添加的自定义规则。在针对某个文件或子目录添加了自定义规则后,出于安全考虑,我们建议您再增加一条兜底的规则,即设置一条单 IP 在 一段时间内(如 60 秒)访问 根目录(/)超过 1000 次(此值需根据自身业务情况进行设置)的规则,这样可以有效应对攻击者改变攻击路径进行 CC 攻击的情况。

添加规则

规则参数说明

参数说明
规则名称自定义规则的名称,可以为任意中英文字符
限制频率单 IP 在统计周期内的访问次数阈值
限制特征请求路径为必选项,且其限制逻辑为完全匹配(等于)或目录匹配(包含)。其他限制字段参照匹配条件说明。多个限制特征之间的逻辑为且
限制方式对超过限制频率且满足限制特征的 IP 采取的限制措施,包含以下方式:
● 封禁该 IP:4 层封禁;如前面有 CDN 等代理,则会封禁建链 IP 地址,即 CDN 等代理节点的 IP,导致大面积无法正常访问,请谨慎使用,默认限制时间 2 小时,此时间不可更改
● 拦截此类请求:7 层封禁,UWAF 会拒绝封禁的 IP 的请求并记录 HTTP 444 状态码;如前面有 CDN 等代理,需正确配置【真实 IP 字段设置】,若 CDN 等代理未正确传递该字段可能存在误封
● 启用验证码:重定向到验证码页面,如果用户验证通过,则会把该 IP 放白 10 分钟(不进行 CC 规则判断,其他规则判断不受影响)
● 限制请求频率:根据规则的限制频率限制请求频率,即会判断请求到达时之前的统计周期这个时间段内的请求数是否超过访问限制数,未超过则不进行限制,超过了就响应 HTTP 429 状态码。此种方式的限制时间无效,不记录攻击日志,可通过 429 状态码过滤访问日志以查询触发规则的 IP
● 只记录日志:仅记录一条 CC 攻击日志,不采取实质性的限制措施
限制时间规则的生效时间,超过后会对 IP 重新进行 CC 规则判断

CC 封堵 IP

此处可以看到触发了 CC 规则的 IP 列表,包含封禁或者触发验证码的 IP。【刷新 CC 黑名单】会将所有 IP 取消封禁或验证码验证,而操作一栏的【解封该 IP】可以将单个 IP 取消封禁或验证码验证。刷新黑名单或解封 IP 操作可能存在延迟,具体以实际生效时间为准。

CC 规则示例

  1. 若某业务域名访问情况一直很稳定,单 IP 在 1 分钟内不会超过 100 次,想使用 UWAF 抵御潜在的 CC 攻击。
    规则示例:

    • 规则名称:防 CC 规则
    • 限制频率:单 IP 在 60 秒访问 100 次
    • 限制特征:请求路径目录匹配 / (目录匹配加根目录即全站)
    • 限制方式:拦截此类请求
    • 限制时间:1440 分钟

    情形:当某恶意客户端在 30 秒发送了 100 次请求,则会触发这条 CC 规则,则此恶意客户端的源 IP 地址会被封禁 24 小时,之后 24 小时内这个 IP 地址发往这个业务域名请求 UWAF 都会响应 HTTP 444 状态码。

  2. 若某在线商城域名将举行一个商品秒杀活动,在预定时段内预计会有大量客户访问,从而引起访问量突增,想使用 UWAF 进行访问限流。

  • 规则示例(1):

    • 规则名称:限流规则 1
    • 限制频率:单 IP 在 60 秒访问 20 次
    • 限制特征:请求路径 目录匹配 A 路径(秒杀商品所属的路径)
    • 限制方式:启用验证码
    • 限制时间:3 分钟

  • 规则示例(2):

    • 规则名称:限流规则 2
    • 限制频率:单 IP 在 60 秒访问 20 次
    • 限制特征:请求路径 目录匹配 A 路径(秒杀商品所属的路径)
    • 限制方式:限制请求速率
    • 限制时间:120 分钟

    情形(1):对于规则示例(1),当某客户端在 30 秒发送了 20 次请求,则会触发这条 CC 规则,则该客户端的源 IP 地址发起的第 21 次请求,UWAF 会将这次请求重定向到验证码界面。若验证通过,之后 10 分钟内该 IP 地址的请求不会进行 CC 规则判断;若验证不通过,则 UWAF 在限制时间内对于该 IP 地址发送到这个在线商城的域名的请求会一直重定向到验证码界面。
    情形(2):对于规则示例(2),当某客户端在 30 秒发送了 20 次请求,则会触发这条 CC 规则,则该客户端的源 IP 地址发起的第 21 次请求时,UWAF 发现这个 IP 地址在这 60 秒内已发送了 20 条请求,于是响应这次请求 HTTP 429 状态码。若 60 秒内,UWAF 没有收到这个 IP 地址的请求,此时该客户端可以继续请求这个在线商城,但在 60 秒内的请求数不能超过 20 次。

UWAF 规则恶意 IP 封禁