针对HTTPS服务的防御策略包括防御。
说明: AntiDDoS对知名协议的识别是基于端口号判定的,对于443端口的非HTTPS协议,可能会被误识别为HTTPS业务而命中相应策略丢弃,请不要将知名端口号用于其他业务,以免命中防御策略,而影响正常业务。
防御
HTTPS源认证防御
如果选中了“基于源IP统计”,则当到达防护对象中目的IP地址的HTTPS报文速率大于“包速率阈值”时,启动基于源IP的统计,并向ATIC管理中心上报异常事件。当源IP地址到达防护对象的HTTPS报文速率大于“包速率阈值”时,则针对这个源IP地址启动HTTPS报文防御功能。
针对源的防御默认为“增强”。
如果未选中“基于源IP统计”,则当到达防护对象中目的IP地址的HTTPS报文速率大于“包速率阈值”时,立即向ATIC管理中心上报异常事件。
建议通过基线学习配置“包速率阈值”,具体请参见配置基线学习任务。
SSL防御
启用HTTPS源认证防御后,当到目的IP地址的HTTPS报文的速率大于“包速率阈值”时,启用对源IP地址的SSL检查。如果选中了“会话检查”,会对会话的合法性进行检查。在“重协商检查周期”内,如果某个源IP地址与目的IP地址的SSL协商次数达到“重协商最大次数”,则将此会话标记为异常会话,在“异常会话检查周期”内,如果异常会话数超过“异常会话最大数”时,判定该源IP地址异常,将该源IP地址加入黑名单。
SSL解密防御
SSL解密防御是“基于源IP统计”的。当到目的IP地址的HTTPS报文的速率大于“基于目的IP统计”的“包速率阈值”时,启动基于源IP的统计。当流量超过“源IP解密阈值”时,会触发“HTTPS指纹学习”和“服务器返回码统计”。在“服务器返回码统计”内,如果匹配超过一定次数,该IP将被加入动态黑名单,并向ATIC管理中心上报异常事件。在“HTTPS指纹学习”内,如果匹配超过一定次数,该IP将被加入动态黑名单,并向ATIC管理中心上报异常事件。