今天我們就來說說CC防護攻擊怎么配置規(guī)則結構。CC攻擊是DDOS（分布式拒絕服務(wù)）的一種，攻擊者通過代理服務(wù)器向受害主機大批量的發(fā)出合法的請求高效。

CC防護攻擊緊急模式

當(dāng)網(wǎng)站碰到CC攻擊的時候溝通協調，我們一般想到的是第一時間的恢復(fù)網(wǎng)站的業(yè)務(wù)，但這個時候我們可以直接在web應(yīng)用防火墻上開啟CC防護攻擊緊急模式體系。開啟之后保障性，能夠有效的對客戶端校驗。

但是這個模式有一個注重的點就是他這個模式只能對Web應(yīng)用責任製、網(wǎng)站應(yīng)用及H5頁面有效十分落實。對于API以及Native的App會造成大量的誤殺，所以這兩個應(yīng)用場景下是不支持攻擊緊急模式的促進善治。這種情況擴大，我們建議的方案是使用CC自定義防護進行防御。

CC自定義防護

那么隨著自定義的一個防御怎么來配置呢發揮效力？有兩個步驟新格局，一是先要從攻擊的日志中分析找到攻擊的特征明顯。然后使用工具或者對應(yīng)的功能對我們發(fā)現(xiàn)的特征進行封禁，從而達(dá)到保護的目的顯示。

特征分析

我們先來看一下CC攻擊有哪些特征創新為先，一般情況下面很主要很明顯的特征是某個URL的請求異常的集中。另外一方面科普活動，他請求的源IP異常的集中創新延展。第三點，他請求的Refer或者user-agent異常的集中長期間。有了這幾個概念之后基本情況，我們就可以根據(jù)這幾個概念去分析日志，獲取對應(yīng)的特征高端化。

我們可以以下面這個為例力量，可以看一下對應(yīng)的時間段。

從這個日志的一個趨勢來看提單產，其實是被打得挺厲害的深入實施，峰值時間很高的時候有13萬的QPS。那我們怎么來對這種攻擊進行分析呢發展空間？我們采用了SLS的日志服務(wù)功能，快捷的自動化地進行分析分析的過程。

requestURL分析

我們通過對requestURL進行分析解決，可以看到他99%的請求全都請求了//index.php的路徑預期。這個請求占這么大的量絕對是有問題的，正常情況下面對比相同時間段集成技術，其實不會有這么大的量出現(xiàn)就能壓製。那么我們要做的事情就是把惡意的請求給他分辨出來，然后把它攔截表對他進行自定義的CC防護適應能力。

規(guī)則配置

配置規(guī)則的時候更優美，對這個URL進行完全匹配，然后配置我們檢測的周期是十秒或者五秒防控，然后對他進行的檢測的次數(shù)成效與經驗，在這個時間范圍內(nèi)他訪問的次數(shù)十次或5次。然后對應(yīng)的主端動作是可以是封禁堅實基礎，也可以是人機識別稍有不慎。很后是他封禁的時間，可以封禁他三十分鐘甚至更長等地。我的配置是采用封禁的策略最為顯著，在十秒內(nèi)訪問五次就直接對他進行封禁的一個動作，從而達(dá)到對網(wǎng)站業(yè)務(wù)的一個防護規定。

這里可以看到還有一個是人機識別的阻斷類型環境，人機識別它是對客戶端的請求進行一個腳印的一個過程空間載體，它會返回給客戶端一串尤其的代碼，可以理解為JS的代碼相對簡便，讓客戶端去執(zhí)行重要組成部分。

假如能夠正常的執(zhí)行成功，那么說明這個客戶端是一個真實的客戶端合作。校驗成功過后勃勃生機，我們對他進行加白，讓他能夠正常訪問極致用戶體驗。假如不能執(zhí)行提供有力支撐，那么這個客戶端我們不認(rèn)為他是一個正常的客戶端，會把他拉黑一段時間建議。這個時間就是我們配置上配的那個時間加強宣傳。

需要注重，在WAF前面假如有高防或者CDN的場景下建設，我們不建議使用封禁的策略，建議使用人機識別的策略助力各行。

經(jīng)過這段配置前來體驗，其實我們的網(wǎng)站業(yè)務(wù)能夠得到一定的緩解，假如不能緩解的話確定性，可以根據(jù)我們上面配置的一個策略進行調(diào)整更加廣闊。由松到緊配置僅一點達(dá)到緩解業(yè)務(wù)的一個效果。

IP分析

得到一定緩解之后講故事，我們繼續(xù)分析一只去分析更加正確的攻擊特征加以保護非常完善，提高我們防護的效果。

我們先看一下源IP是否有什么特征全面革新，我們可以源IP分布沒有什么特征作用，沒有在幾個段里面，然后去查市里面行業分類。其實各個市都有技術特點，也沒有市和省的維度，那這兩個不能作為一個明顯的一個特征去做防護發展邏輯。

refer或者user-agent分析

那么第三個我們?nèi)ネㄟ^refer或者user-agent去看凝聚力量，通過refer去看的時候，我這邊就不說了聽得進，因為沒有尤其明顯的特征新的力量，但是我們再去看user-agent的時候，我們發(fā)現(xiàn)99%的請求都是來自于microsoft和Firefox瀏覽器的請求便利性。

這個訪問比例與我們請求的request全面展示，index.php的請求比例是非常接近的重要平臺，然后我們拿著這個user-agent去對比前一天相同時間段的請求，是否有這個user-agent結構。

前一天的相同時間段下沒有出現(xiàn)過類似這樣的一個UA更適合。那么我們認(rèn)為當(dāng)前時間段出現(xiàn)這個UA的請求是異常的，是惡意的溝通協調。那么我們針對這個UA進行防護的時候要素配置改革，我們使用WAF的精準(zhǔn)防護，控制精準(zhǔn)的對這個UA進行配置阻斷保障性。

WAF的精準(zhǔn)防護配置

我們的配置方式是為了更加正確而使用兩個條件帶動產業發展，一個是user-agent，讓它包含F(xiàn)irefox新創新即將到來，另外一個是URL包含上述所說的index.php邁出了重要的一步，同時滿足這兩個條件的，那我們市網(wǎng)站建設(shè)同時對他進行阻斷的操作設施。

通過這種方式能夠有效的將所有惡意的請求排除在外需求。真正回到原站的請求都是我們判定是可信的一個請求，從而達(dá)到防護的效果組合運用。