最近一位做壁纸站的站长朋友跑来诉苦:网站图片流量被爬虫薅到服务器带宽天天告警,还时不时被CC攻击弄得首页都打不开。看了下他的站点 ,日请求量三百多万,其中攻击流量就占了近 38 万,BOT 爬虫和 CC 攻击几乎是把服务器当免费图床在用。
这类场景我再熟悉不过了,直接给他上了百度云防护企业版,并把几个核心域名全部接入。几天调优下来,恶意流量断崖式下降,服务器负载瞬间回到正常水位。下面就把整个对抗思路和规则配置分享出来,如果你也在被爬虫、盗链、CC折磨,照抄作业就能看到效果。
一、先看攻击态势:知己知彼
接入百度云防护后,安全统计面板立刻让攻击可视化:
- 24 小时总请求:3,808,475 次
- 攻击请求:377,176 次(占比接近 10%)
- 自定义防护拦截:184,450 次
- BOT 防护拦截:174,656 次
- CC 防护拦截:17,773 次
攻击目标集中在图片和静态资源域名:pic 遭受 21 万+ 攻击,www 主站 13.5 万+,img 和 m 子域名也各有数万次。攻击来源区域第一名是张家口,其次北京、广州,显然有不少来自云厂商廉价代理的扫描。这些数据告诉我们两件事:爬虫占绝对大头,而且它们专门盯着图片和 JS/CSS 静态文件来偷资源。
没有 WAF 的时候,这些请求全落到源站,服务器不崩才怪。
二、对爬虫的精准打击:三层规则让 Bot 无处遁形
面对近 17.5 万的 BOT 流量,我配置了三条自定义规则,专门收拾工具化访问和图片盗链。
1. UA 黑名单——直接“封口”
大量爬虫请求的 User-Agent 诚实得很,直接暴露了自己的身份:Wget、python-requests、ApacheBench、AhrefsBot、SemrushBot、Go-http-client 等。我在 WAF 里建了一条 UA 黑名单 规则,匹配到这些 UA 直接拦截并封禁 1440 分钟。规则一次命中,这个 IP 在接下来一整天内别再想请求任何资源。
2. UA 不存在——JS 挑战验明正身
很多脚本连 UA 都懒得构造,直接空着头发起请求。针对这种“裸奔”请求,我增加了一条 UA 不存在 规则,动作为 JS 挑战。正常浏览器自然会响应 JS 校验,而脚本工具基本过不了这一关,直接在边缘被过滤掉。对用户体验没有影响,但能杀掉一大批低水平爬虫。
3. 空头规则——专治图片盗链
壁纸站最怕别人直接拿你的图片外链到他们网站上,不仅偷带宽还让你承担成本。检查日志发现大量对 .jpg、.png 的请求中 Referer 字段为空或来源域是别人的站。于是我配置了一条“空头”规则:当 URI 包含 .jpg 或 .png,且 Referer 不存在 时,直接拦截。
这三板斧下来,域名 pic的压力立刻减半,BOT 防护每天稳稳拦截 17.4 万次异常请求。
三、CC 攻击怎么防?多维度频率控制
除了爬虫,CC 攻击也时不时突袭,特别是针对图片下载接口的高频请求。我利用百度云防护企业版的精准自定义 CC 和智能 CC 功能,设置了多层频率限制。
1. 下载频次限制
该站图片下载会附带 auth_key 参数鉴权,我针对这个特征建了一条规则:同一 IP 在 10 秒内对包含 auth_key 的请求超过 6 次,即触发 JS 挑战,处置时长 60 秒。这样一来,哪怕攻击者拿到了真实下载链接,恶意并发也会被 JS 挑战挡住。
2. JA3 指纹防护
用 JA3 指纹识别客户端 TLS 特征,可以有效揪出同一脚本派生的大量请求。我配置了 URI 前缀匹配 / ,10 秒内同一 JA3 指纹请求超过 400 次,直接拦截 600 秒。这种规则对批量扫描尤其有效,而且几乎不会误伤真实浏览器。
3. IP 动态情报 + CC 防护
百度云防护内置了 IP 动态情报库,包含代理 IP、IDC 出口、NAT 出口等 24 种类型。我启用了一条规则:请求 IP 命中任一动态情报类型,且 20 秒内请求超过 100 次,就执行 JS 挑战 600 秒。这条规则专门处理从云函数、代理池发起的分布式 CC,哪怕 IP 随时换,只要属于代理/IDC 就会被提前处置。
4. 智能 CC 兜底
最后打开智能 CC(宽松模式),利用内置通用算法识别 HTTP Flood,动作设为拦截。它能在不明显影响正常用户的前提下,自动缓解常规 CC 流量。从数据上看,CC 防护总共拦截了 1.7 万次攻击,这套组合拳功不可没。
四、智能能力加持:AI 防护与侧滑验证
除了手写规则,百度云防护企业版的智能引擎也起了关键作用。
- AI 智能防护规则:自动学习流量模型,发现异常后弹出滑块验证。那些模仿人类行为但请求模式有偏差的 Bot,直接撞上滑块。
- 可疑 IP 侧滑:开启后,对于 IP 动态情报判定为高危 IP、NAT IP,或 IP 地域情报中 IDC 段的访问,自动推滑块验证,进一步减轻后端压力。
这两项功能几乎零配置,却帮我消化了大量中低风险流量,让我能把精力集中在核心规则调优上。
五、效果与产品推荐
调整前后对比极为明显:服务器带宽使用率从 90% 直降到 40% 以下,网站访问速度恢复正常。安全统计中的 CC 与 BOT 拦截条条命中,误伤率极低,站长朋友终于能睡个好觉了。
如果你也正在寻找一套能精准拦截恶意爬虫、轻松扛住 CC 攻击、同时不影响正常用户体验的防护方案,百度云防护企业版值得立刻上手。它提供:
- 云原生 SaaS WAF,无需自建,分钟级接入
- 自定义 BOT 策略、精准 CC、JA3 指纹、IP 动态情报等高级能力
- AI 智能防护和滑块验证,零经验也能快速上手
- 还能搭配 百度高防 CDN、高防 IP 使用,应对超大流量 DDoS
- 顺便提一句,网站要全站 HTTPS,别忘了上 SSL 证书,我这里也有售,兼容百度云全线产品
主机吧网络安全博客 长期提供 高防 CDN、高防 IP、高防服务器、百度云防护 WAF、京东云星盾 SCDN、百度 aipage 智能建站、SSL 证书 等安全产品,有任何需要直接找我,还能帮你调优规则,一步到位解决安全问题。
