hackaq 发表于 2022/4/24 08:26

为什么我设置的kangle cc一直在命中? 请求控制anti_cc标记模块次数增加上涨

小弟刚接触kangle不久学习做安防,问题有点多见谅,朋友建议都说kangle做waf不错
看了帖子说在replace_ip: X-Real-Ip上面插入请求控制anti_cc模块,频率我设置的很10秒100次请求,很放宽了 防御机制用的小樱的美化点击进入的那个页面 msg选的是 jsconcat 这样配置没毛病 但我设置完之后 测试的站 是没有攻击的 CC一直在命中         self_ip:命中多少他就命中多少 不知道什么原因

安而遇随 发表于 2022/4/24 12:46

同问

小樱 发表于 2022/4/24 18:24

有流量,只要流量数据走到标记模块,就会有命中次数,命中不代表是拦截,代表是触发标记模块,使标记模块进行工作,详情可以参考下kangle数据流向图:https://bbs.itzmx.com/thread-7880-1-1.html
在命中anti_cc标记模块后,然后防护CC模块才会去智能检测是否是攻击,该模块拦截攻击不存在任何误封情况,而且是完美防御一切CC攻击,攻击0漏,只有通过检测的合法正常访问流量才会回源
最简单来说,例如你设置的10秒100次请求,虽然有命中显示,但是并不是每次都会弹出防御页面对吧,要达到设置的数值才会弹出,命中该标记模块后,anti_cc标记模块会去检测这个数值是否达到设置值,就是这个效果,所以有显示命中次数。
如果不想要显示那么多命中次数,可以搭配匹配模块来实现,例如匹配host模块,仅针对某个站点开启,或者匹配path模块,仅针对某个目录下进行开启,可以自由发挥想象来进行匹配模块组合

hackaq 发表于 2022/4/24 19:06

小樱 发表于 2022/4/24 18:24
有流量,只要流量数据走到标记模块,就会有命中次数,命中不代表是拦截,代表是触发标记模块,使标记模块进 ...

我也是这么理解的,我是做白帽安全运维的,这几天我整理一些最近对kangleWAF防御这块自己的经验分享出来,感觉kangle做WAF还不错

小樱 发表于 2022/4/24 19:08

hackaq 发表于 2022/4/24 19:06
我也是这么理解的,我是做白帽安全运维的,这几天我整理一些最近对kangleWAF防御这块自己的经验分享出来 ...

是的,欢迎发帖分享~

method 发表于 2022/5/18 15:19

hackaq 发表于 2022/4/24 19:06
我也是这么理解的,我是做白帽安全运维的,这几天我整理一些最近对kangleWAF防御这块自己的经验分享出来 ...

啥时侯发点精华贴?
页: [1]
查看完整版本: 为什么我设置的kangle cc一直在命中? 请求控制anti_cc标记模块次数增加上涨