当网站遭遇CC攻击时,合理配置WAF的回源能力至关重要,目的是减少后端服务器资源消耗、加速释放连接、避免攻击请求堆积。以下是针对你提供的参数配置建议:
防御CC攻击的核心配置原则:
- 缩短超时时间: 让无效或恶意连接尽快释放,防止占用连接池。
- 限制长连接数量: 避免攻击耗尽所有可用回源连接。
- 减少重试次数: 避免对攻击请求进行不必要的重试,加重后端负担。
- 加速空闲连接回收: 更快释放闲置资源。
针对你列出的参数具体配置建议:
- 建连超时时间 (默认4秒,范围4-600秒):
- 建议值:保持默认
4秒或略微增加 (如5-10秒)。 - 理由: CC攻击者可能使用响应慢的源IP。过长的建连超时 (如600秒) 会让WAF长时间等待一个根本连不上的恶意服务器,迅速耗尽连接池。较短的超时能快速判定连接失败并释放资源。
- 建议值:保持默认
- 写连接超时时间 (默认60秒,范围30-3600秒):
- 建议值:设置为允许范围内的较低值,如
30-45秒。 - 理由: 指WAF向后端发送请求头的超时。正常请求发送请求头很快。攻击者可能故意缓慢发送请求头(慢速攻击)。缩短此时间能快速终止这类慢速连接。
- 建议值:设置为允许范围内的较低值,如
- 读连接超时时间 (默认60秒,范围30-3600秒):
- 建议值:设置为允许范围内的较低值,如
30-45秒。 - 理由: 指WAF等待后端返回响应头/体的超时。攻击者可能让后端处理很久或返回响应很慢。缩短此时间能强制关闭长时间无响应的连接,释放资源。这是防御CC最重要的超时之一! 600秒的设置风险极高。
- 建议值:设置为允许范围内的较低值,如
- 回源长连接 (默认100个,范围60-1000个):
- 建议值:设置为允许范围内的较低值或略低于默认值,如
80-120个(根据后端实际承受能力微调)。避免设置为320个! - 理由: 限制WAF能同时使用的到后端的持久连接总数。CC攻击旨在耗尽资源。过高的连接数上限 (
320个) 会被攻击者利用,快速占满所有连接导致正常请求无法回源。适度降低上限可以起到熔断作用,保护后端不被彻底压垮。
- 建议值:设置为允许范围内的较低值或略低于默认值,如
- 回源重试 (默认3次,范围1-10次):
- 建议值:设置为
1次或2次。 - 理由: 对于因攻击导致的连接失败或超时,重试通常是徒劳的,反而会增加后端负担。显著降低重试次数能有效减少无效请求对后端的冲击。
- 建议值:设置为
- 空闲长连接超时时间 (默认15秒,范围1-300秒):
- 建议值:设置为允许范围内的较低值,如
5-15秒(保持默认或更短)。避免设置为300秒! - 理由: 指没有数据传输后,长连接保持打开的时间。缩短此时间能让空闲连接更快关闭,释放资源给新的有效连接。较长的空闲超时 (
300秒) 会使连接池被闲置连接占据,降低应对突发流量的能力。
- 建议值:设置为允许范围内的较低值,如
总结配置推荐 (针对CC攻击防御):
| 参数 | 默认值 | 防御CC推荐值 | 原因简述 |
|---|---|---|---|
| 建连超时时间 | 4秒 | 4-10秒 | 快速判定无效连接,防止阻塞 |
| 写连接超时时间 | 60秒 | 30-45秒 | 终止慢速发送请求头的攻击 |
| 读连接超时时间 | 60秒 | 30-45秒 | 关键! 快速关闭无响应连接,释放资源 |
| 回源长连接 | 100个 | 80-120个 | 限制并发连接,防止耗尽,保护后端 |
| 回源重试 | 3次 | 1-2次 | 减少对失败(攻击)请求的无效重试,减轻后端负担 |
| 空闲长连接超时 | 15秒 | 5-15秒 | 加速释放闲置连接,提高连接池周转率 |
重要注意事项:
- 结合WAF的CC防护规则: 调整回源参数是基础防御,必须同时启用并优化WAF的CC攻击防护规则(如基于IP、Session、URI的频率限制、人机验证等)。这才是直接识别和阻断CC流量的核心手段。
- 监控与调整: 调整后务必密切监控:
- 网站可用性 (是否出现误杀正常用户?)
- 后端服务器负载 (CPU, 内存, 连接数)
- WAF监控指标 (活跃连接数、超时率、错误率)
- 根据监控结果微调参数,特别是
回源长连接数和超时时间。
- 理解业务容忍度: 缩短超时可能影响访问真正慢速后端或大文件上传/下载的用户。评估业务是否允许。例如,纯内容展示站可容忍较短超时,大文件下载站则需稍长。
- 后端优化: 确保后端服务器和应用本身已优化,能快速处理请求(缓存、代码优化、数据库优化等)。WAF回源参数优化是保护后端的最后一道屏障。
- 综合防御: 考虑结合CDN(吸收流量)、源站IP隐藏、DDoS高防服务等形成多层次防御体系。
