在腾讯云 WAF 上设置 CC 攻击防护,以保障业务数据免被恶意爬取,主要是在CC 防护设置 或自定义防护策略 中,通过限制访问频率 和采用人机识别等手段来实现。
以下是具体的配置步骤和关键点:
核心目标:限制请求频率,区分"人"与"机器"
CC 攻击(Challenge Collapsar)和恶意爬取都是通过高频访问消耗服务器资源或获取数据。WAF 的目标是限制这种高频访问并强制机器进行身份验证。
步骤一:进入 WAF 防护配置界面
-
登录 腾讯云 Web 应用防火墙控制台。
-
在左侧导航栏,选择 防护策略 > 基础安全 (或直接进入 防护设置)。
-
在域名列表中,选择您需要防护的域名,点击进入其防护配置页面。
-
找到 CC 防护设置 模块或 访问控制/限流 页签。
步骤二:创建 CC 防护规则(基于 IP 频率限制)
这是最基础且常用的防护方式,用于拦截来自单个 IP 的高频请求。
-
在 CC 防护 页面,点击 添加规则。
-
规则名称: 填写一个易于识别的名称(如:"高频访问拦截")。
-
识别模式: 选择 IP(以访问源 IP 地址作为限速维度)。
-
匹配条件(URL/路径):
-
匹配 URL: 填写您希望重点保护的业务接口或页面路径(例如
/api/productlist或/detail/*)。如果不填写,则默认对该域名的所有请求生效。 -
匹配条件: 选择 相等 、前缀匹配 或 包含 等。
-
-
访问频次(关键设置):
-
根据您网站正常用户的平均访问速度设置一个合理的阈值。
-
建议: 设置为正常访问速度的3到10倍。例如,如果正常用户1分钟内访问20次,您可以配置为60次/1分钟。
-
-
执行动作:
-
人机识别(推荐): 触发阈值后,强制访问者进行验证码、滑动验证等验证。这能有效拦截恶意爬虫脚本,同时避免误伤正常用户。
-
阻断(更严格): 触发阈值后,直接返回拦截页面。
-
-
惩罚时长: 设置阻断或人机识别的持续时间(例如5分钟、1小时)。
-
优先级: 数字越小,优先级越高。
步骤三:高级配置(基于 SESSION/Cookie/参数 限速)
如果您的用户使用同一出口 IP(如公司网络或公共 Wi-Fi),基于 IP 的限速容易误伤。此时应使用基于 SESSION 或其他标识的限速。
-
设置 SESSION 维度:
-
在 CC 防护设置中,找到 SESSION 设置。
-
您可以选择 COOKIE 、GET 或 POST 中的某个参数作为用户标识(例如,用一个包含用户登录信息的 Cookie 值来识别用户会话)。
-
设置匹配位置和标识符,确保 WAF 能准确提取到唯一的会话标识。
-
-
创建 SESSION 规则:
-
识别模式: 选择 SESSION。
-
其余配置(匹配条件、访问频次、执行动作)与基于 IP 的规则类似。这将确保即使是共享 IP 的多用户,也能基于各自的 SESSION 独立限速。
-
步骤四:启用 Bot 管理(增强反爬取能力)
虽然 CC 防护可以防御高频爬取,但专业的爬虫防御通常在 Bot 管理模块中实现。
-
在左侧导航栏,选择 防护配置 > Bot 管理。
-
启用 Bot 管理功能,它可以基于规则库和 AI 识别各种已知的爬虫(搜索引擎、恶意 Bot 等)。
-
您可以针对恶意爬取 行为,配置相应的策略动作(如观察 、拦截 或人机验证)。
通过以上步骤,您可以为您的业务建立多层次的 CC 攻击和恶意爬取防护体系。