766 浏览一、防御CC的简介
首先说明一下。CC 防御和恶意容忍度的区别
1. CC防御是指的是触发了设置的阀值而进行拦截
2.恶意容忍度 -->代表的是触发了多少次的恶意请求进行封锁IP
为了更简单的阐述这两个拦截的意义举例说明
例如:
CC攻击:192.168.1.10 IP 对网站www.bt.cn60秒内访问了/index.php 666 次。那么这个防火墙认为是一个CC 攻击。进行拦截
恶意容忍度: 192.168.1.10 ip 对网站www.bt.cn60秒内 攻击了10次(恶意行为),那么防火墙认为这是一个非法的IP 进行拦截
那么通过上面的简单举例,相信大家应该明白了这两个设置的区别了吧。主要设置还是设置第一个CC防御部分
二、防御设置
那么下面重点讲解防御CC的设置
2.1 小白模式
这里对于小白来说,给了一个默认值。如果你对你自己的网站不是很了解。或者你对CC这块不是很了解的话。可以使用默认设置
这里的周期指的是多长时间内。某个IP 触发的频率。进行拦截。如上的意思是:单个IP 请求一个URI 60s 内请求超过120 次。进行封锁300秒
2.2 一般模式
可能会有很多人好奇,为什么这个阀值会比小白模式还高。其实不然。对于没有CC的情况下。建议还是开启一般模式。
2.3 自动模式
这里需要重点讲解一下。自动模式的一个具体的内部逻辑
当网站 60 秒 时间内,被访问 600 次自动开启增强模式,没有触发该规则,自动关闭增强模式。
这个600 次代表的是 所有的请求。包括JS 包括图片的请求。都算一次。可以根据网站监控报表中的每天的访问次数
比如你的网站一天PV 60w 那么可以算出。600000/86400*60 =360 。
那么这个数字乘以10 ,也就是3600,为什么要乘以10 因为这个数量是包括了静态文件和图片的次数。
2.4 增强模式
增强模式。这个是一般很少开启。除非碰到CC 的时候才开启。
增强模式里面有两种选择。一种是跳转验证。一种是验证码验证。
如果你网站访问很慢的时候,可能是CC 有点大的时候。那么建议开启增强模式(建议验证码验证)
增强模式是强制验证你这个IP 是否是正常的浏览器行为
例如打开验证码模式如下:
然后打开网站
如果验证码刷不出来。那么打开你的网站的伪静态 查看是否有这一段。如果有的话。删除这段即可
if (!-e $request_filename) {
return 404;
}
2.5 浏览器验证
这个也是跟随自动模式或者增强模式下才有的。这个是因为。一般模式和小白模式下都不需要去验证客户IP是否是恶意的。
这个验证的好处在于。他会自动的判断这个IP 是否是一个正常的浏览器行为。通过逻辑去计算是否是一个正常的行为
2.6 四层防御
这个是一个通过系统防火墙进行拦截IP 的一个操作。在大量CC的时候。防火墙是一个七层的应用,对于封锁过后的IP 那么ip 也是可以访问到防火墙那层,
虽然封锁过后的IP 访问不到数据。但是还是会对服务器造成一些内存的损耗。通过四层的去拦截的话。就无需再有新的内存去处理这些请求了。
![如何解决[Docker管理器]运行时发生错误!](/upfile/2022/04/05/1649096171335.png)
