华为waf防火墙:cc攻击防御
简介
CC攻击是是ddos(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。
目前流量型的攻击方式由于成本很高,攻击事件越来越少,而基于应用层的CC攻击由于攻击成本低越来越常见,攻击者只需找一些代理服务器就可以完成。
原理描述
WAF可基于请求字段细粒度检测CC攻击,支持请求速率和请求集中度双重算法检测,双重检测算法更精准科学,有效减少误判,并可应对CC慢速攻击,挑战模式可识别人机访问,支持流量自学习建模和攻击者区域检测算法,可完全隔离海外傀儡机的攻击。
配置举例
(1)选择“策略 > CC攻击防御 > 新建规则”,进入CC规则配置页面,新建CC规则。如图所示。
(2)配置匹配条件。单击“添加请求匹配条件”按钮。
配置匹配条件:匹配类型可以是网站的访问路径、目的IP、目的端口、请求方法等多种匹配条件,在未知CC攻击的情况下我们建议配置全局检测条件为目的IP,也就是需要防护的网站服务器IP地址,这样可以对所有访问网站服务器的流量进行检查(需要配置保护站点才会生效),示例中目标IP为192.168.27.164,如果是整个网段可配置为192.168.27.0/24。
(3)配置组合条件。匹配条件配置完成后,再将规则名称加载至组合方法中,如下图将web和web1都加载,多个条件可使用!(非运算关系)、&&(和运算关系)、||(或运算关系)等多个运算符进行组合。
(4)配置检测对象。检测对象是指对客户端发来的请求报文中的特定字段。支持的选项如下所示:
表1 检测对象参数说明
(5)配置测量指标。测量指标是CC攻击防护时配置的检测阈值,主要是两种测量指标:请求速率和请求集中度。
请求速率是某个客户端在一定时间内访问某个URL的访问次数。
请求集中度代表某个客户端的访问请求集中在同一个URL的程度(配置检测对象为IP+URL才支持请求集中度检查)。
两种测量指标无论匹配到哪一条都会触发CC防御。以下为请求速率和请求集中度配置范例。
超过设置的阈值后动作可设置为“告警”和“阻断”,并且在阻断模式下可配置阻断时间和设置“挑战”模式。挑战模式可视cc防护情况而定,开启挑战模式之后WAF会发送一个JS页面给客户端,客户端需要点击JS页面进行验证。
以下为WAF开启挑战模式,触发CC攻击防御后,浏览器访问网站的验证页面。
(6)保存规则并生效。添加规则名称后,单击“保存”。
单击“应用规则”按钮进行生效,此操作不影响业务系统正常运行。
(7)最后需要根据不同状态按需开启CC攻击防御,通过“策略 > CC攻击防御 > 配置”设定本功能的运行方式。一般在测试情况下将运行模式开启为“始终运行”,在学习完流量模型后可根据业务系统的实际情况改为“由启动条件确定”,这样CC攻击防御会在流量异常时才会开启,减小系统开销及误报率。
功能验证
在完成CC防御规则配置后需要验证规则是否生效,具体验证步骤如下:
单击“CC防护日志”,查看是否有日志产生,如图所示。
华为web应用防火墙、华为waf(列表、list、全)华为waflist、华为fwlist
http://www.zh-cjh.com/wenzhangguilei/1251.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
原文链接:http://www.zh-cjh.com/wangluoanquan/3379.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22048
