问题描述
对于有些业务,用户希望对业务资源的访问来源进行控制,防止恶意的用户盗刷场景。对于这种场景,我们推荐设置『IP访问限频配置』通过对单IP节点在每一秒钟的访问次数进行合理的阀值限制, 从而减少这种问题的发生。
解决方案
IP访问限频可以通过如下两种办法实现:
- CDN自带『访问控制』的IP访问限频设置
- SCDN高级限频配置
1.CDN『访问控制』的IP访问限频设置
CDN『访问控制』选项提供的IP访问限频是针对客户端的IP访问次数过大,落入单机的阀值到达设定的阀值以后,直接返回514状态码的方法进行限制访问频率。如果对IP访问限频要求比较单一的情况下可以采用这种方法。
下面的操作是关于如何配置CDN自带的IP限频设置。
1.1 查看配置
登录CDN 控制台,在菜单栏里选择【域名管理】,单击域名右侧【管理】,即可进入域名配置页面,第二栏【访问控制】中可看到 IP 访问限频配置,默认情况下配置为关闭状态,阈值为空:
1.2 管理配置
如果是关闭情况下单击开关,填充频次控制阈值并单击【确认】,即可启用 IP 访问限频控制。 如果是开启状态下, 点击『编辑』即可以打开阀值设置对话框,进行设置修改。
1.3 注意事项
- 配置开启后,阀值需要根据业务场景使用情况合理设置。如果超出 QPS 限制的请求会直接返回514,设置较低频次限制可能会影响正常高频用户的使用。
- 限频仅针对与单 IP 单节点访问次数进行约束,若恶意用户海量 IP 针对性的进行全网节点攻击,则通过此功能无法进行有效控制。如果对安全要求较高的业务,建议开启SCDN进行专业的防护。
- 如果加速域名是全球加速,则设置IP 访问限频会全球生效,不支持境内、境外差异化配置
2.SCDN 高级IP访问限频设置
如果需要进行DDOS防护,需要开通SCDN,然后结合用户多维度⾃定义限频配置对七层流量进⾏观察/拦截/重定向,达到控制恶意⾼频请求的⽬的。比起第一种办法更加全面和灵活的对业务进行防护。该功能默认关闭,需要开启并设置自定义限频规则后,才能拦截七层流量攻击。
下面的操作是关于如何配置SCDN的IP限频策略。
2.1 查看配置
登录CDN 控制台,在CDN菜单栏里选择【安全防护】,点击下拉按钮,选择【防护设置】在右侧即可以看到『DDOS防护』:
2.2 管理配置
在自定义规则一栏点击『新建规则』,设置自定义限频规则。可以根据业务需求配置检测时长,访问阀值。还可以为了避免配置影响到正常用户访问,先配置为『观察』模式, 发现恶意IP,UA行为以后,再进行拦截,重定向设置
- 访问目标类型:支持根据协议、请求方法、域名、请求源 IP、URI、首页、文件全路径、文件拓展名、请求参数、Referer、Cookie、User-Agent、自定义请求头等特征进行规则配置,对具有一定特征的高频攻击进行拦截。
- 访问频次:可根据业务情况设置访问频次。建议输入正常访问次数的3倍 - 10倍,例如,网站人平均访问20次/分钟,可配置为60次/分钟 - 200次/分钟,可依据被攻击严重程度调整。
- IP 惩罚::可根据业务情况,结合拦截动作对明显具有攻击特征的 IP 进行惩罚,设置不允许其访问的惩罚时长。系统将根据设置的匹配条件和检测时长,对触发访问阈值的 IP 进行惩罚。
2.3 注意事项
- 当前IP 惩罚仅面向单节点、单 IP 进行访问频次统计与惩罚。
- 当前仅基于中国境内 SCDN 服务已开放 自助购买。