网站服务器的CC防护这里分为两种情况来说
一种是网站域名直接解析到服务器IP上。
一种是域名解析到CDN上,CDN上设置源站IP为服务器IP。
一、首先说第一种直接解析源站IP。这种一般可以选择的操作比较多。主要有以下几个方式。
1.开启服务器机房的防护。一般服务器所在机房都有硬件防火墙,防护CC的效果比较好。这是最推荐的方式。缺点是可能会造成部分误封,操作不方便不能随意调整。
2.服务器内安装安全防护软件,如安全狗、云锁等。这种方式适合应对中小型CC攻击。可以有效的拦截攻击流量,并且防护策略可以根据攻击情况自己手动随时调整。
软件防护可操作空间比较大,下面再说几点:
软件防护可以开启自动处理规则,这类规则一般比较宽松。更高的就是根据来源、UA等进行判断自动处理。还可以让访客参与验证来防护CC,常见的方式是访客第一次访问时需要输入验证码访问、或者是访问时有5秒自动的安全验证来防护CC。这个安全验证主要是自动检测访客的来源、系统版本、浏览器等等来判断是否是正常访客。同时五秒的验证时间也阻止了同一IP大量频繁的向服务器发送请求。
二、第二种解析到CDN,CDN里选择填入源站IP的方式。
使用CDN的朋友需要特别注意。
因为CDN除了缓存常用资源之外,其他的资源请求也会通过CDN的节点来转发给服务器,服务器返回给CDN,CDN再返回给访客。相当于有个代理的作用。
这时候服务器开启CC防护因为CDN的大量请求,就可能把CDN的节点IP当作CC攻击者的IP。
有些CDN具有CC防护(WAF安全)的功能,可以设置防护规则,一些则是没有防护设置。比如腾讯云CDN,就没有任何安全设置。
有使用CDN,就只能在CDN上进行CC防护。
CDN有安全设置就可以在CDN上进行防护;
如果CDN上没有防护功能,还只能用CDN的话,就换个有防护的。不然只能挨打。
解释:
如果服务器将CDN节点加白名单,则所有CC攻击都会通过CDN的节点直接打入服务器。
如果不加白名单,服务器做安全设置因为请求频繁切很多是非法请求就会拦截CDN的IP。
CDN的IP大部分都不会公开,并且IP是动态会变动的。