边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
Docs Overview/
边缘安全/
Web 防护/
CC 攻击防护/

CC 攻击防护

概述

CC(Collapse Challenge)攻击,即 HTTP/HTTPS DDoS 攻击。攻击者通过占用 Web 服务的连接和会话资源,导致服务无法正常响应用户请求,拒绝服务。为避免 CC 攻击,EdgeOne 提供了预设的 CC 攻击防护策略,并默认开启,确保您的站点稳定在线。
说明: CC 攻击防护旨在保障业务可用性。对于不会造成源站错误或者站点可用性下降的安全场景,例如:盗刷资源、批量登录、购物车自动下单等场景,请使用 速率限制Bot 管理 进一步加固安全策略。
EdgeOne 使用“干净流量”计费模式,即对于安全防护功能拦截的请求不进行计费,仅对通过安全防护功能处理后的流量和请求用量计费。对“干净流量”计费模式的定义请参考:关于“干净流量”计费说明

使用平台托管的速率限制

平台托管的速率限制通过速率基线学习、头部特征统计分析和客户端IP情报等方式识别 CC 攻击,并进行处置。EdgeOne 提供了预设的三种 CC 攻击防护策略:
自适应频控:用于应对通过高频和大量并发的连接请求占用服务器资源的 CC 攻击行为,可基于单 IP 源限制访问频次限制。
慢速攻击防护:用于应对通过大量慢速连接请求占用服务器资源的 CC 攻击行为,可基于单会话限制访问连接最低速率,淘汰慢速连接客户端。
智能客户端过滤:融合了速率基线学习、头部特征统计分析和客户端 IP 情报,实时动态生成防护规则。针对来自高危客户端、或者携带高危头部特征的请求进行人机验证。智能客户端过滤默认开启且对符合规则的客户端执行 JavaScript 挑战。

配置自适应频控

自适应频控根据配置的限制等级,统计当前域名的请求速率,基于最近7天请求建立速率基线(速率基线每 24 小时更新),结合配置的限制等级,限制单个客户端访问该域名的请求速率。
注意:
自适应频控适用于 Web 类业务。当站点同时提供 API 接口服务时,为了防止频率较高的正常请求被拦截。建议为需要支持高频访问的 API 接口配置 防护例外规则,跳过 CC 攻击防护模块,同时通过配置 自定义速率限制规则 精准限制 API 接口暴露面,避免使用适中和紧急限制等级。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
3. 定位到速率限制卡片,单击自适应频控右侧的编辑
4. 配置自适应频控的限制等级和处置方式,各限制等级说明如下:
限制类型
限制等级
适用场景
自适应
宽松(默认配置,推荐)
适用于大部分 Web 业务场景。
适中
适用于页面内容较为简单,动态数据或动态加载内容较少的业务场景。
紧急
当攻击发生时,或者其他限制等级防护有防护透传造成业务影响时,可选择该限制等级进行紧急防护。由于该等级的速率限制较为严格,可能存在误杀风险,不建议长期使用。
说明:
自适应频控处置方式支持观察、拦截JavaScript 挑战两种方式,不同的处置方式说明详见:处置方式

5. 单击保存,完成规则配置。

配置慢速攻击防护

通过限制最小请求速率和设置超时,缓解慢速传输等攻击场景对站点资源的消耗,避免服务可用性下降。EdgeOne 慢速攻击防护支持正文传输超时正文传输最小速率选项,当正文传输速率缓慢,或长时间无数据传输时,对客户端进行处置。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
3. 定位到速率限制卡片,单击慢速攻击防护右侧的编辑
4. 配置慢速攻击防护规则的匹配方式,可选以下限制:
正文传输时长:缓解通过占用连接但不传输正文数据的慢速攻击方式。指定正文传输超时时长,超过配置时间未完成前 8KB 正文数据传输的客户端,将按指定方式处置;支持配置 5-120 秒。
正文传输最小速率:缓解通过极慢速传输正文占用连接和会话资源的攻击。可指定最低传输速率,在统计时间窗口内传输的请求正文小于配置速率时,按指定方式处置,传输速率配置最小支持 1 bps,最大 100 Kbps。

说明:
慢速攻击防护处置方式,支持拦截、观察两种方式,不同的处置方式说明详情请参见 处置方式
5. 单击保存,完成规则配置。

智能客户端过滤

融合了速率基线学习、头部特征统计分析和客户端 IP 情报,实时动态生成防护规则。针对来自高危客户端、或者携带高危头部特征的请求进行人机识别。智能客户端过滤默认开启且对符合规则的客户端执行 JavaScript 挑战。
注意:
智能客户端过滤使用业务速率基线作为参考之一,业务重大变更(接入、切量、新增业务、活动上新)时,业务基线可能造成误拦截,可将处置方式暂时修改为观察,待业务平稳后开启。
智能客户端过滤仅标准版及企业版套餐支持。

修改智能客户端过滤处置方式

如果您需要修改触发智能客户端过滤后的处置方式,您可以参照以下操作步骤:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
3. 定位到速率限制卡片,单击单击智能客户端过滤右侧的编辑
4. 配置处置方式。

说明:
智能客户端过滤处置方式支持关闭(不启用)观察拦截JavaScript 挑战四种方式,不同的处置方式说明请见处置方式
5. 单击保存,完成规则配置。
说明:
查看命中智能客户端过滤规则请求,详情请见 Web 安全分析