×

#原创分享#CC通信拦截导致业务访问异常
  

andy_AAAAA 17599人觉得有帮助

CC攻击:攻击者借助代理服务器生成指向受害主机的合法请求实现DDOS和伪装就叫:cc(ChallengeCollapsar)。【名词解释来源百度百科】。
深信服AF防护原理:一个公网IP来访问服务器,这时候同时间访问的一个URL请求次数达到一定的值则进行相关策略封堵。

问题现象:
外部用户访问业务网址异常。

排障过程:
从客户现象描述一般我们首先考虑的是安全规则有拦截,我们查询防火墙安全日志发现有大量的CC攻击日志。进入数据中心查看详细信息。
217515ddcd7c51b6de.png
731875ddcd7ecd4927.png
从日志分析看出部分来源IP的访问已经超过了CC设定的阈值,根据CC攻击的策略动作一旦超过阀值就会触发防火墙联动封锁此源IP的请求避免服务器受到攻击,一旦请求IP被联动封锁就会导致此IP的请求就会被防火墙直接丢弃导致无法访问。

处理办法:
根据CC攻击的封锁原理适当调大CC攻击防护设置阀值,将目前的联动封锁正常的IP移除。
701205ddcd83dd8ea1.png
根据日志的最大值取调整,此处设置为1000。
67565ddcd856c87a1.png
清除封锁的源IP

处理结果:
经过调整CC攻击阀值,清除正常的请求IP,外部用户访问恢复正常。

总结:
一般安全策略拦截导致访问异常的我们都可以通过防火墙日志去查看详细信息,对应规则ID拦截的可以对规则ID进项审计放行,对基于一定条件封锁拦截或者联动封锁的可以适当放宽触发条件删除联动封锁的源IP来处理,对于已知的攻击源IP可以直接加入永久封堵。

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
4人已打赏

sangfor52783 发表于 2019-12-17 21:35
  
感谢分享,问题原因主要是阈值设置的较小导致CC攻击误拦截。而目前在AF上,这类需要阈值设置后进行防护的,确实是目前较难配置的,而且配置不当对业务的影响还不小,如DOS攻击 ,CC攻击,都是会自动触发联动封锁的。所以需要对业务有一定的了解后,再根据业务的访问峰值,以及时间规律,进行合理阈值的选择。或者也可以先开功能允许,记录日志观察后,再进行调整后开拦截。也是一种可参考的方法。
新手011353 发表于 2019-11-26 15:58
  
看完楼主无私的分享,感觉写得很详细,get到了~
TCN 发表于 2019-11-26 17:25
  
调整阈值,恢复封锁IP,学习了
feeling 发表于 2019-11-26 22:05
  
楼主厉害,分享很实用
主动出击 发表于 2019-11-28 08:56
  
感谢分享。
Sangfor_闪电回_朱丽 发表于 2019-11-29 11:27
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!
redflagfleet 发表于 2019-11-29 14:51
  
感谢分享。
CHENY 发表于 2019-11-30 12:39
  
感谢分享,已学习
沧海 发表于 2019-11-30 21:54
  
学习一下啊
司马缸砸了光 发表于 2019-12-1 22:02
  
感谢分享
×
有话想说?点这里!
可评论、可发帖
发表新帖

本版版主

203
31
21

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人