最近,主机邦的一位客户反馈网站被大量CC攻击,而百度云防护毫无反应。
为此主机帮特地去看下该用户设置的Web防护规则,发现这个用户设置了一个非常长的检测IP访问频率设置。
检测时长高达1个小时!
要知道几乎没有用户连续访问一个网站高达一个小时,而且这一个小时还设置了可以访问120次,这不是相当于对所有用户不做访问频率限制嘛。
正常的频率限制应该设置极短的时间内的检测,比如2秒内不超过10次请求
需要注意的是,如果你是给网页做请求限制的,一定要设置访问次数大于10,因为一般网页打开起码是10个链接请求的,这些链接请求是计算在次数上的,比如主机邦首页打开就同达几十多个请求,为了不影响误杀,建议不要设置太低。
而如果你是设置API访问频率的话,是可以设置最低,因为API链接,打开一个只有两个请求。
所以我们这样设置:
相当于两秒内只能访问一次API,超过次数就封禁1440,这符合正常用户请求习惯。
访问频率限制功能一般适用于API防御,不大适合网页,因为每个网页的资源不一样,得出的访问次数也不一样,如果设置太多,可能拦截不住真的CC攻击,设置太少,可能会误杀真实用户。
而CC攻击拦截本身是一个综合多种行为来判断的,百度云防护本身有自己的一套识别方案。
