853
CC自定义防护验证最佳实践
CC自定义防护配置
在这里可以定义如下图所示的防护规则:
- URI:需要防护的具体地址,如/sms.php,也支持参数,比如/user?action=login
- 完全匹配即精确匹配前缀匹配是包含匹配
- 检测时常:即统计访问次数的周期,需要跟下面的访问次数配合
- 单一IP访问次数:在统计周期内,单个源IP访问该URL的次数
- 阻断类型:封禁(触发条件后,直接断开连接),人机识别(触发条件后,用重定向的方式去挑战客户端,通过验证的才放行)
- 阻断时间:执行阻断动作的时间
以图中的配置为例,含义为:单个IP访问xxx.xxx.cn/sms.php 这个地址(精确匹配),6秒内超过2次访问,就拉黑该IP 10分钟。
测试验证
测试验证脚本
for i in {1..1000} ; do curl -o /dev/null-s -w %{http_code} http://xxx.xxx.cn/ks.j;echo " ";echo $i ;date ; done
ab -c 10 -n 100 http://www.aliyun.com/
|
以上为示例脚本。
如遇配置某个策略不生效,验证时,可以在测试域名下,配置相同的路径,然后使用测试命令测试对应的路径验证调试。
主要为以下三个方面:
1)CC安全防护状态是否开启
2)自定义规则开关是否开启
3)规则配置是否正确
最后更新:2017-10-26 16:05:08