hackaq 发表于 2022/11/15 16:33

kangle CC防御针对前后端分离的站机制问题

@小樱 最近做个防御项目测试是前后端分离的的站,蓝队一直CC攻击的是数据源获取的地址,然后一直触发了kangle的CC,CC的频率是10-8 拦截页面是点击认真,被攻击的话这样就导致了后端的数据源获取不了,显示跨域。preset 换个JS con 之类的模式也是不行 只要一被触发CC 红队的后端站就获取不到数据源 报错显示跨域。 这样有什么好的解决办法吗

小樱 发表于 2022/11/15 18:59

cc防御频率改成0 0,代表对一切请求访问流量始终验证。
如果是静态插入api接口实现框架的页面,请对api做白名单放行,请改写php代码提升api性能,或者使用ip频率黑名单。

hackaq 发表于 2022/11/15 20:12

小樱 发表于 2022/11/15 18:59
cc防御频率改成0 0,代表对一切请求访问流量始终验证。
如果是静态插入api接口实现框架的页面,请对api做 ...

后端的api参数是动态的,方法是固定的,要怎么对api做白名单放行,是通过域名获取的,攻击者也是打的这个api的获取域名,所以CC防御机制频率拦截的导致API获取不到 打不开。那要怎么过白呢,能说下具体吗

小樱 发表于 2022/11/15 20:41

hackaq 发表于 2022/11/15 20:12
后端的api参数是动态的,方法是固定的,要怎么对api做白名单放行,是通过域名获取的,攻击者也是打的这个 ...

假设主页是:https://www.bilibili.com/
api地址是:https://www.bilibili.com/api/v1
那么加白则在防护CC表单中插入一个匹配模块url,值为 www.bilibili.com/api/v1 ,不用精确到?号后面的参数,并且勾选非,代表启用白名单仅对填写值以外的url启用防护CC

如下图
https://att.itzmx.com/data/attachment/forum/202211/15/204616g5esigxacp7vnsgt.png

hackaq 发表于 2022/11/15 21:09

小樱 发表于 2022/11/15 20:41
假设主页是:https://www.bilibili.com/
api地址是:https://www.bilibili.com/api/v1
那么加白则在 ...

这样给api的地址过白之后就不会触发cc的频率和拦截点击机制了是吧,那这样的话,攻击者还是继续打api/v1的话是不是就没有CC防御了呢?

小樱 发表于 2022/11/15 21:17

hackaq 发表于 2022/11/15 21:09
这样给api的地址过白之后就不会触发cc的频率和拦截点击机制了是吧,那这样的话,攻击者还是继续打api/v1 ...

针对api,基本只能靠优化php代码本身性能,或者做多后端多节点均衡负载,此时可提供多台服务器来同时运行api,或者启用ip访问频率黑名单来防御攻击。

hackaq 发表于 2022/11/15 21:46

小樱 发表于 2022/11/15 21:17
针对api,基本只能靠优化php代码本身性能,或者做多后端多节点均衡负载,此时可提供多台服务器来同时运行 ...

好的 明白了 谢谢 做后端负载试试

小樱 发表于 2022/11/15 22:10

hackaq 发表于 2022/11/15 21:46
好的 明白了 谢谢 做后端负载试试

按照一台2核2G vps对api能处理可达10w TPS(Transaction Per Second),1000W日活跃用户的站点,日访问峰值的时间点集中在晚上19:00,23:00是一天中活跃的峰值,也就是说会出现每秒90000个请求的情况,正常情况一台vps可带动1000W日活跃用户的站点。
也就是说每台vps服务器api代码优化针对正常访问需要能够支撑每秒90000个请求,对于异常CC攻击一般可达到三倍或者十倍的访问量,此时就需要根据系统负载情况做多节点部署后端增加api服务器数量。

页: [1]
查看完整版本: kangle CC防御针对前后端分离的站机制问题