传统的CC防护主要基于请求频率(如每秒请求数),但某些攻击(如大文件下载刷流量、视频盗链)单次请求量极大,频率却很低,传统规则难以识别。百度云防护全新上线 「流量防护」 功能,支持基于流量阈值(例如 10 秒内超过 500 MB)触发处置动作,有效应对带宽耗尽型攻击。本文将详细介绍功能原理、配置步骤及典型应用场景。
一、 功能概述:从“频率限速”到“流量限速”
流量防护是百度云防护 WAF 在“Web 防护”模块下新增的一项能力。它允许用户设置匹配条件(如 URI、IP 等)和流量阈值(指定时间窗口内的总流量大小),当命中条件的请求累积流量超过阈值时,自动执行拦截、JS挑战、人机识别或滑块验证等处置动作。
与传统的“智能CC”或“精准自定义CC”不同,后者主要统计请求次数,而流量防护直接统计实际传输的字节数,特别适合防御以下攻击:
- 恶意大文件下载(反复请求大文件耗光带宽)
- 视频/图片盗链(单次请求流量巨大)
- 刷流量攻击(短时间内大量传输消耗 CDN 或源站流量)
二、 操作流程:三步配置流量防护规则
第一步:进入流量防护配置页面
- 登录百度云防护控制台 → 防护配置 → Web防护 → 流量防护。
- 点击 【添加规则】 按钮。
第二步:填写基本信息与匹配条件
规则名称:输入可识别的名称(如“限制大文件下载”)。
优先级:0–200,数值越小优先级越高。同一请求命中多条规则时,优先级高的先生效。
匹配条件(支持多条件“且”关系):
- URI:可选包含、前缀、正则等,例如配置
/video/*或*.mp4。 - IP:可选属于/不属于地址簿、或手动输入 IP。
- 最多可添加 5 个条件,请求须同时满足所有条件才触发统计。
流量阈值:
- 填写时间窗口(单位:秒,例如
10)。 - 填写流量阈值(单位:MB,例如
500)。 - 含义:在
10秒内,满足匹配条件的请求所产生的总流量超过500MB 时触发处置。
生效范围:
- 仅作用于当前规则的匹配条件:只对命中该规则的具体请求进行流量统计和处置。
- 作用于整个防护站点:对整个域名的所有请求进行流量统计(需谨慎设置,避免误伤)。
生效模式:可选择永久生效、按时间段生效或按周期生效。
第三步:设置处置动作
支持以下处置动作:
- 拦截:直接阻断请求,返回 403 页面。
- JS挑战:对客户端下发 JavaScript 验证,过滤自动化工具。
- 人机识别:弹出滑动验证码。
- 滑块验证:拖动滑块完成验证。
- 严格滑块验证:更高强度的滑块验证。
同时可设置处置时长(例如 1800 秒),表示触发后该 IP 或会话在一定时间内被限制。
最后,选择需要应用的防护站点(域名),保存规则。
三、 典型应用场景
场景一:防止视频/大文件盗链
问题:网站提供视频教程或大型安装包下载,被其他网站盗链,导致带宽账单暴涨。
解决方案:
- 匹配条件:URI 包含
/video/或文件后缀.mp4。 - 流量阈值:10 秒内超过 200 MB。
- 处置动作:拦截 并设置处置时长 3600 秒。
- 同时配合 白名单 放行合法来源(如自己的网站域名)。
效果:单个 IP 短时间内下载大文件超过阈值即被临时封禁,有效遏制盗链。
场景二:抵御低速大流量刷带宽攻击
问题:攻击者使用慢速请求(每秒只发一个请求),但每个请求都拉取大文件(如 50MB 的压缩包),传统频率 CC 防护无法识别。
解决方案:
- 匹配条件:URI 包含
/download/。 - 流量阈值:60 秒内超过 1 GB。
- 处置动作:JS挑战 或 人机识别。
效果:即使攻击频率很低,但累计流量超标就会触发验证,正常人机可轻松通过,自动化脚本则被拦截。
场景三:保护 API 接口不被滥用
问题:某些 API 接口返回数据量较大(如导出报表),被恶意轮询消耗服务器资源。
解决方案:
- 匹配条件:URI 包含
/api/export。 - 流量阈值:30 秒内超过 100 MB。
- 处置动作:滑块验证。
效果:短时间内高频调用大流量 API 的 IP 会被要求验证,合法业务不受影响。
场景四:源站带宽有限,防止突发流量打垮
问题:源站带宽只有 50Mbps,若某个资源被分享到热门社区,瞬间大量请求可能打满带宽。
解决方案:
- 匹配条件:URI 包含
/images/hot/。 - 流量阈值:5 秒内超过 30 MB(约 48Mbps)。
- 处置动作:拦截 并返回自定义错误页面。
效果:超过源站承载能力的流量直接被 WAF 丢弃,保护源站稳定。
四、 注意事项
- 阈值不宜过低:正常用户的合法大文件下载也可能触发,建议先通过“观察”模式运行一段时间,分析流量分布后再设置合理阈值。
- 配合白名单:将可信 IP(如公司出口、合作伙伴)加入地址簿,并在匹配条件中排除(或单独设置更高阈值的规则)。
- 流量统计粒度:流量防护统计的是从 WAF 节点传输到客户端的响应流量,不包括请求头等小流量。
- 与 CC 防护互补:建议同时开启智能 CC(针对高频小请求)和流量防护(针对低频大流量),形成完整防御。
五、 总结
百度云防护的 流量防护 功能填补了传统 CC 防护基于请求频率的盲区,通过统计时间窗口内的实际传输流量,精准识别并阻断大流量攻击。无论是视频盗链、大文件刷带宽,还是低速大流量 CC,都能有效应对。
立即登录百度云防护控制台,进入 Web防护 → 流量防护,为你的关键资源设置流量阈值,让带宽账单不再“爆表”。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让流量攻击无路可走,让带宽成本可控可防。
