## CC防护模式详解 ## 功能描述 CC安全防护可以拦截机器恶意CC攻击,并提供不同模式的防护策略:访问频率、浏览器验证、客户端人机验证。将网站接入乌云盾后,您可以为其开启CC安全防护,并根据实际需求调整相应防护策略。当您为网站开启CC防护后,乌云盾将以关闭连接的方式帮您阻断检测出的CC攻击请求。 # 1. **CC访问频率** * 在大规模CC攻击中,单台傀儡机发包的速率往往远超过正常用户的请求频率。这种情况下,直接针对请求源限速拉黑是有效的办法。 * 默认开启规则(60/分)这条规则的策略为:当一个IP在60秒内访问本域名下动态请求超过60次,则封禁该IP的请求4个小时,该规则可以作为一般中小型站点的预防性配置。 * 限制单个IP在规定时间内访问网页的频率(已排除静态资源),将超过该阈值的IP进行阻断并拉黑,从而达到访问限制的目的,在实际场景中,您可以根据自身业务需求调整防护路径和触发防护的阈值,并选择合适的阻断类型,以达到更有针对性、更精细化的防护效果。 * 例如,为了预防登录接口被恶意高频撞库,60秒内超过20次动态请求则进行封禁。 * 建议:默认使用此模式。此模式误杀较少,只针对特别异常的请求进行拦截。 * 适用范围: 网页/H5、原生APP、API等环境 # 2. **浏览器验证** * 此模式在访问频率模式的基础上,增加了对客户端Javascript执行能力的检测,通过Javascript加密并验证Cookie,能拦截大部分CC攻击,浏览器验证的目的是校验请求是否来自于真实浏览器(而非自动化工具脚本)。 * 对于很多资讯类网站(如征信、租房、机票、小说等),大量的爬虫往往会造成带宽增大、负载飙升等异常,以及数据泄露等问题。针对爬虫问题,如果上述手段不能够很好的防御,推荐您使用浏览器验证,更有针对性的防御爬虫。 * 建议:当发现有CC访问频率模式无法拦截的CC攻击,并出现网站响应缓慢,流量、CPU、内存等指标异常时,可以选择浏览器验证模式。此模式拦截CC攻击效果较强。 * 适用范围仅限于网页/H5,不适用于原生APP、API等环境 # 3. **客户端人机验证** * 对于网页环境(包括H5)中的一些关键接口,如登录、注册、投票、短信验证码等,推荐您使用[客户端人机验证]进行防护。 * 人机验证在关键接口页面中插入JS代码,采集用户在页面上的操作行为和环境信息,综合判断发送至关键接口的请求是否来自于真实的用户(而不是自动化工具脚本)。人机风控判定的依据主要来自于人机识别的结果,跟发送请求的频率、来源IP并没有关系,针对一些低频、分散的攻击请求有很好的效果。 * 适用范围仅限于网页/H5,不适用于原生APP、API等环境 # ![](https://img.kancloud.cn/e8/54/e8547a722ae144f0fae8a6530c2897ef_2454x1418.png) # **在使用CC防护时,请注意以下事项** * *浏览器验证* | *客户端人机验证* 的目的是校验请求是否来自于真实浏览器(而非自动化工具脚本),适用范围仅限于网页/H5,不适用于原生APP、API等环境。针对原生APP、API等环境。 * 针对有可能被CC策略误伤的接口或IP,您可以通过联系我们客服,根据客户端IP、请求URL其统一加白。 **说明** * 如果发现开启了CC防护仍然漏过较多攻击,建议您检查流量来源是否为乌云盾云防御回源IP。如果发现有攻击直接攻击源站,建议您联系乌云盾售后客服,以确保源IP安全 * 如果您希望有更好的防护效果,同时有更低的误杀,您可以升级到乌云盾企业版,定制版可获得乌云盾安全专家定制针对性的防护算法。 # ## FAQ **不同的套餐对应的CC安全防护能力有什么区别?** 不同的套餐产品规格针对各种复杂的CC攻击提供不同的防护效果: * **专业版**:支持默认的防护模式(访问频率、浏览器验证),阻拦攻击特征明显的CC攻击。 * **商业版**:支持客户端人机验证,防护某些具有特定攻击特征的CC攻击。 * **企业版|定制版**:区块链请求验证,专家定制防护规则,保障防护效果。 **为什么有些CC攻击需要升级企业版才能防护?** * 乌云盾应用防火墙通过人机识别、大数据分析、模型分析等技术识别攻击,对攻击进行拦截。不同于与程序交互,安全攻防是人与人的对抗,每个网站的性能瓶颈也不同。黑客在发现一种攻击无效后,可以调整策略并重新发动定向攻击。此时,通过乌云盾安全专家介入分析,可以获得更高的防护等级和效果。