针对HTTPS服务的防御策略包括防御。
- AntiDDoS对知名协议的识别是基于端口号判定的,对于443端口的非HTTPS协议,可能会被误识别为HTTPS业务而命中相应策略丢弃,请不要将知名端口号用于其他业务,以免命中防御策略,而影响正常业务。
- 本章节内容仅适用于AntiDDoS V500R005C20SPC600版本。
- TLS加密攻击防御
当发往目的IP地址的HTTPS报文速率大于“目的IP包速率阈值”时,则针对这个目的IP地址启动TLS加密攻击防御。
如果防护对象的防御模式为自动,则系统自动启动防御;如果为手动,则需要管理员手工确认后启动防御。防御模式的配置请参见配置防御模式。
建议通过基线学习配置“目的IP包速率阈值”,具体请参见配置基线学习任务。- 源挑战认证
- 高频请求检测
在“检查周期”内,同一源IP对防护对象的HTTPS请求次数超过“请求次数阈值”时,则将该源IP将加入黑名单,并向ATIC管理中心上报异常事件。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 固定资源监测
在“检查周期”内,同一源IP对防护对象的请求次超过“请求次数阈值”,且对固定资源的请求次数在总请求次数中的占比大于“请求比例阈值”,则将该源IP将加入黑名单,并向ATIC管理中心上报异常事件。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 大资源检测
在“检查周期”内,同一源IP对防护对象的请求次超过“请求次数阈值”,且满足“大资源定义”的请求次数在总请求次数中占比大于“请求比例阈值”,则将该源IP将加入黑名单,并向ATIC管理中心上报异常事件。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- TLS会话攻击防御
当发往目的IP的HTTPS并发连接数大于“目的IP并发连接数阈值 ”时,则针对这个目的IP地址启动TLS会话攻击防御。
- 异常源阻断
在“异常会话检查周期”内,如果异常会话数超过“异常会话最大数”时,判定该源IP地址异常,将该源IP地址加入黑名单。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 重协商次数检查:在“重协商检查周期”内,如果某个源IP地址与目的IP地址的SSL协商次数达到“重协商最大次数”,则将此会话标记为异常会话。
- 空连接检测:TLS会话没有TLS协商或协商异常或协商正常但没发送数据视为空连接。
- 异常源阻断