有一种攻击,它不像洪水猛兽那样瞬间冲垮你的带宽,而是像“温水煮青蛙”一样,与服务器建立大量连接后,每隔几秒才发送一两个字节。这种慢速CC攻击,伪装性极强,传统基于请求频率的防御规则很难察觉。等到服务器线程池被耗尽、内存占满时,网站早已无法响应正常用户。
面对这种“慢性子”的攻击,百度云防护提供了一套从连接行为、工具指纹到IP信誉的立体防御体系。本文将手把手教你如何配置,让慢速CC攻击无处遁形。
一、 第一道防线:智能CC防护
智能CC是百度云防护内置的通用防御引擎,无需复杂配置即可自动识别并拦截慢速连接特征。
配置步骤:
- 登录百度云防护控制台 → 防护配置 → Web防护 → CC防护 → 添加规则。
- 防护类型选择“智能CC”。
- 防护状态建议日常使用“严格模式”,若正在被攻击可临时切换至“超级严格模式”。
- 处置动作选择“拦截”或“JS挑战”(JS挑战可过滤自动化脚本)。
智能CC对于多数慢速CC攻击已经足够有效。但如果攻击者使用了定制工具,我们还需要更精准的打击手段。
二、 第二道防线:精准自定义CC + JA4指纹识别
当智能CC无法完全拦截时,可以利用精准自定义CC规则,并结合百度云防护专业版以上套餐才支持的JA4指纹识别。
2.1 针对敏感URI设置超长统计周期
慢速CC攻击的特点是单个IP在短时间内请求次数少,但会长时间占用连接。我们可以设置较长的统计时长(如300秒)和较低的阈值(如20次)来捕获这种“慢但持久”的行为。
配置示例:
- 匹配条件:
URI包含/api/(假设攻击目标为API接口)。 - 统计对象:
IP。 - 统计时长:
300秒。 - 阈值:
20次(300秒内超过20次即触发)。 - 处置动作:
JS挑战或拦截。
2.2 JA4指纹:换IP也无用
慢速CC攻击往往使用同一套攻击工具(如Slowloris、PyRatt等),即使攻击者不断更换IP,其TLS握手的JA4指纹是固定不变的。
操作步骤:
- 在【攻击详情】中筛选出恶意请求,复制其 JA4指纹(例如
t13d521100_b262b3658495_8e6e362c5eac)。 - 进入 自定义规则 → 添加规则。
- 匹配条件选择
JA4→等于多值之一,粘贴复制的指纹。 - 处置动作选择
拦截。
一条JA4规则,即可封杀所有使用同一工具发起的攻击,无论对方换多少IP。
三、 第三道防线:IP动态情报,从源头阻断
慢速CC攻击经常通过代理IP池或云服务器发起。百度云防护内置的 IP动态情报 可以实时识别这些“脏IP”。
配置示例:
- 匹配条件:
IP动态情报→属于→ 勾选“代理IP”、“云服务IP”、“秒拨IP”。 - 处置动作:
拦截或JS挑战。
开启后,来自代理池和云机房的恶意请求将被直接阻断,从源头上减少大量攻击流量。
四、 组合策略:层层递进,让攻击无处遁形
| 防护层级 | 策略 | 核心目的 |
|---|---|---|
| 第一层 | 智能CC防护(严格模式) | 自动拦截常见慢速攻击行为 |
| 第二层 | 精准自定义CC(长周期低阈值) | 捕获“慢但持久”的异常连接 |
| 第三层 | JA4指纹拦截 | 锁定攻击工具,换IP也无效 |
| 第四层 | IP动态情报 | 封杀代理IP、云服务IP,源头阻断 |
实战建议:配置新规则时,建议先设为“观察”模式运行1-2天,分析攻击日志确认无误后再改为“拦截”,避免误伤正常用户。
五、 总结
慢速CC攻击并不可怕,可怕的是用错了防御方法。百度云防护的智能CC + 精准自定义CC + JA4指纹 + IP情报库四层组合,能够从连接行为、工具指纹、IP信誉三个维度精准识别并拦截慢速攻击,让网站业务稳如泰山。
如果你在配置中遇到任何问题,或想为网站定制专属的防护策略,欢迎随时联系主机吧。我们提供免费安全评估与配置指导。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让慢速攻击无处遁形,让网站业务畅通无阻。
