知道创宇CC防火墙有基础引擎、高级防护等不同的防御级别和防御手段,不同的防御手段拦截效果有所差异。
一、拦截页面展示
1、基础引擎拦截:在网络层面进行拦截,在网络层面拦截后会出现连接超时、连接被拒绝报错,如下图:
注:因为移动用户的IP地址不固定且存在共用出口情况,为避免因共用出口导致大面积误拦截的情况,知道创宇对移动IP的封锁进行了特殊处理,被CC基础引擎识别之后将仅在应用层面拦截,拦截提示如下图:
2、超级防护人机识别拦截:人机识别是给客户端返回一段JS代码,由客户端执行后Set对应的Cookie,若Cookie校验通过则放行,若校验不通过则返回JS代码要求重新验证,返回JS时状态码为521如下图:
二、报表展示
CC拦截可以在【抗D保】 – 【报表】- 【查看报表详情】 -【DDOS攻击统计】进行查看。
三、日志记录,用户可登陆控制台下载7天内的拦截日志,下载位置为:【抗D保】-【日志下载】-【CC日志】,详细字段可查阅日志字段说明。
2021-08-10T01:05:37.375258+08:00 180.*.*.20 www.example.com /example/ Y
拦截日志字段说明:
| 序号 | 内容 | 备注 |
|---|---|---|
| 1 | 告警时间 | 如 “2017-07-19T10:57:09” |
| 2 | 攻击IP | 如 “1.1.1.1” |
| 3 | 被攻击主机名 | 如 “www.xxx.com” |
| 4 | 被攻击路径 | 如 ” /”、” /index.html”、” /abc/d/” 等 (特殊路径 “…”,表示有多个 URL 同时被攻击,一般是遍历式攻击,URL 个数比较多) |
| 5 | 是否拦截 | Y表示拦截,N表示未拦截(观察模式),L1表示基础引擎限速,L2表示超单IP访问频次阈值限速,L3表示超单IP流量阈值限速。 |
四、解决方案
访客被CC攻击拦截后,拦截记录会出现在报表中,若确认为可信IP,可参考以下步骤处理:
1)可在报表中找到相应IP,点击后面的解封按钮进行临时解封操作,解封后若该IP再次发起攻击依然会被封锁。(为了安全考虑,报表中解封IP必须在拦截10分钟后才可解封,10分钟内的不允许解封,如需紧急操作,可联系知道创宇云防御技术支撑协助解封)
2)如该IP仅内部使用且固定,可在解封后,将该IP添加到白名单中,添加后该IP的所有请求将会放行。
3)如核实触发CC拦截的URL本身存在大量调用的情况,可能为当前防御策略对业务场景不适用,可联系知道创宇技术支持人员分析后进行策略调整。
CC防火墙功能使用说明可参考:http://help.yunaq.com/faq/2349/index.html
CC防火墙最佳实践可参考:http://help.yunaq.com/faq/3899/index.html