在 CDN 层面配置频率限制是应对 CC 攻击的有效手段,适合在攻击流量特征明显且需要快速止血的场景,但必须基于正常业务基线调整阈值以防误伤。
先说结论:频率限制能显著增加攻击成本,但不能完全替代其他防御层,需结合业务场景精细化配置。
- 先判断:分析日志确认攻击集中在特定 URL 还是全站,区分正常高峰与恶意请求。
- 优先做:在 CDN 控制台开启 URI 或 IP 频率限制,动作首选验证码或人机识别而非直接封禁。
- 再验证:观察拦截日志与业务状态码,确保正常用户访问不受影响。
主流 CDN 平台配置实操
不同 CDN 厂商的控制台路径略有差异,以下是主流平台的具体配置入口与关键设置:
1. 阿里云 CDN/DCDN
登录控制台,进入域名管理 -> 目标域名管理 -> 安全配置 -> CC 防护。
- 配置项:开启频率控制,设置统计周期(建议 10 秒)和阈值。
- 动作:建议选择“滑块验证”或“JS 挑战”,避免直接返回 403 影响用户体验。
- 注意:若开启 DDoS 高防联动,需确保回源策略一致。
2. 腾讯云 CDN
登录控制台,进入域名管理 -> 目标域名配置 -> 访问控制 -> CC 攻击防护。
- 配置项:支持按 IP 或 URL 设置频率限制。
- 高级设置:可配置白名单,将监控 IP 或办公网段加入豁免列表。
3. Cloudflare
进入 Dashboard -> 选择域名 -> Security -> WAF -> Rate Limiting Rules。
- 配置项:创建规则,匹配 Path 或 All Traffic。
- 动作:可选择 Block 或 Managed Challenge(推荐)。
- 注意:Cloudflare 免费版规则数量有限,需合理规划。
阈值设定参考标准
阈值设置过高无法防御,过低易误伤。建议根据业务类型参考以下范围,并在非高峰期灰度测试:
- 普通浏览页面:单 IP 10-20 次/10 秒。适用于新闻、文章详情页。
- 动态交互接口:单 IP 5-10 次/10 秒。适用于搜索、评论提交。
- 敏感操作接口:单 IP 3-5 次/10 秒。适用于登录、短信发送、支付回调。
- API 业务:需结合 Token 认证,单纯 IP 限制可能误伤共用出口的正常客户端,建议放宽至 50-100 次/10 秒或采用签名验证。
验证是否生效
配置完成后,需通过以下方法验证策略是否按预期工作:
1. 查看拦截日志
在 CDN 控制台的安全日志或拦截日志中,筛选动作类型为“频率限制”或