×

#原创分享#CC通信拦截导致业务访问异常
  

andy_AAAAA 202

CC攻击:攻击者借助代理服务器生成指向受害主机的合法请求实现DDOS和伪装就叫:cc(ChallengeCollapsar)。【名词解释来源百度百科】。
深信服AF防护原理:一个公网IP来访问服务器,这时候同时间访问的一个URL请求次数达到一定的值则进行相关策略封堵。

问题现象:
外部用户访问业务网址异常。

排障过程:
从客户现象描述一般我们首先考虑的是安全规则有拦截,我们查询防火墙安全日志发现有大量的CC攻击日志。进入数据中心查看详细信息。
217515ddcd7c51b6de.png
731875ddcd7ecd4927.png
从日志分析看出部分来源IP的访问已经超过了CC设定的阈值,根据CC攻击的策略动作一旦超过阀值就会触发防火墙联动封锁此源IP的请求避免服务器受到攻击,一旦请求IP被联动封锁就会导致此IP的请求就会被防火墙直接丢弃导致无法访问。

处理办法:
根据CC攻击的封锁原理适当调大CC攻击防护设置阀值,将目前的联动封锁正常的IP移除。
701205ddcd83dd8ea1.png
根据日志的最大值取调整,此处设置为1000。
67565ddcd856c87a1.png
清除封锁的源IP

处理结果:
经过调整CC攻击阀值,清除正常的请求IP,外部用户访问恢复正常。

总结:
一般安全策略拦截导致访问异常的我们都可以通过防火墙日志去查看详细信息,对应规则ID拦截的可以对规则ID进项审计放行,对基于一定条件封锁拦截或者联动封锁的可以适当放宽触发条件删除联动封锁的源IP来处理,对于已知的攻击源IP可以直接加入永久封堵。

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
2人已打赏

×
有话想说?点这里!
可评论、可发帖
发表新帖

本版热帖

本版达人

新手94985...

本周建议达人

Sangfor...

本周分享达人

新手16837...

本周提问达人