华为waf防火墙：CC攻击防御

华为waf防火墙：CC攻击防御

简介
CC攻击是是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。
目前流量型的攻击方式由于成本很高，攻击事件越来越少，而基于应用层的CC攻击由于攻击成本低越来越常见，攻击者只需找一些代理服务器就可以完成。
原理描述
WAF可基于请求字段细粒度检测CC攻击，支持请求速率和请求集中度双重算法检测，双重检测算法更精准科学，有效减少误判，并可应对CC慢速攻击，挑战模式可识别人机访问，支持流量自学习建模和攻击者区域检测算法，可完全隔离海外傀儡机的攻击。
配置举例
（1）选择“策略 > CC攻击防御 > 新建规则”，进入CC规则配置页面，新建CC规则。如图所示。

（2）配置匹配条件。单击“添加请求匹配条件”按钮。

配置匹配条件：匹配类型可以是网站的访问路径、目的IP、目的端口、请求方法等多种匹配条件，在未知CC攻击的情况下我们建议配置全局检测条件为目的IP，也就是需要防护的网站服务器IP地址，这样可以对所有访问网站服务器的流量进行检查（需要配置保护站点才会生效），示例中目标IP为192.168.27.164，如果是整个网段可配置为192.168.27.0/24。

（3）配置组合条件。匹配条件配置完成后，再将规则名称加载至组合方法中，如下图将web和web1都加载，多个条件可使用!（非运算关系）、&&（和运算关系）、||（或运算关系）等多个运算符进行组合。

（4）配置检测对象。检测对象是指对客户端发来的请求报文中的特定字段。支持的选项如下所示：

表1 检测对象参数说明

（5）配置测量指标。测量指标是CC攻击防护时配置的检测阈值，主要是两种测量指标：请求速率和请求集中度。
请求速率是某个客户端在一定时间内访问某个URL的访问次数。
请求集中度代表某个客户端的访问请求集中在同一个URL的程度（配置检测对象为IP+URL才支持请求集中度检查）。
两种测量指标无论匹配到哪一条都会触发CC防御。以下为请求速率和请求集中度配置范例。

超过设置的阈值后动作可设置为“告警”和“阻断”，并且在阻断模式下可配置阻断时间和设置“挑战”模式。挑战模式可视CC防护情况而定，开启挑战模式之后WAF会发送一个JS页面给客户端，客户端需要点击JS页面进行验证。
以下为WAF开启挑战模式，触发CC攻击防御后，浏览器访问网站的验证页面。

（6）保存规则并生效。添加规则名称后，单击“保存”。

单击“应用规则”按钮进行生效，此操作不影响业务系统正常运行。

（7）最后需要根据不同状态按需开启CC攻击防御，通过“策略 > CC攻击防御 > 配置”设定本功能的运行方式。一般在测试情况下将运行模式开启为“始终运行”，在学习完流量模型后可根据业务系统的实际情况改为“由启动条件确定”，这样CC攻击防御会在流量异常时才会开启，减小系统开销及误报率。

功能验证
在完成CC防御规则配置后需要验证规则是否生效，具体验证步骤如下：
单击“CC防护日志”，查看是否有日志产生，如图所示。

华为web应用防火墙、华为waf（列表、list、全）华为waflist、华为fwlist

http://www.zh-cjh.com/wenzhangguilei/1251.html

文章归类、所有文章列表、LISTLIST

http://www.zh-cjh.com/wangzhangonggao/2195.html