kangle CC防御针对前后端分离的站机制问题

hackaq

@小樱 最近做个防御项目测试是前后端分离的的站，蓝队一直CC攻击的是数据源获取的地址，然后一直触发了kangle的CC，CC的频率是10-8 拦截页面是点击认真，被攻击的话这样就导致了后端的数据源获取不了，显示跨域。preset 换个JS con 之类的模式也是不行 只要一被触发CC 红队的后端站就获取不到数据源 报错显示跨域。 这样有什么好的解决办法吗

小樱

cc防御频率改成0 0，代表对一切请求访问流量始终验证。
如果是静态插入api接口实现框架的页面，请对api做白名单放行，请改写php代码提升api性能，或者使用ip频率黑名单。

hackaq

小樱 发表于 2022/11/15 18:59
cc防御频率改成0 0，代表对一切请求访问流量始终验证。
如果是静态插入api接口实现框架的页面，请对api做 ...

后端的api参数是动态的，方法是固定的，要怎么对api做白名单放行，是通过域名获取的，攻击者也是打的这个api的获取域名，所以CC防御机制频率拦截的导致API获取不到 打不开。那要怎么过白呢，能说下具体吗

小樱

hackaq 发表于 2022/11/15 20:12
后端的api参数是动态的，方法是固定的，要怎么对api做白名单放行，是通过域名获取的，攻击者也是打的这个 ...

假设主页是：https://www.bilibili.com/
api地址是：https://www.bilibili.com/api/v1
那么加白则在防护CC表单中插入一个匹配模块url，值为 www.bilibili.com/api/v1 ，不用精确到?号后面的参数，并且勾选非，代表启用白名单仅对填写值以外的url启用防护CC

如下图

hackaq

小樱 发表于 2022/11/15 20:41
假设主页是：https://www.bilibili.com/
api地址是：https://www.bilibili.com/api/v1
那么加白则在 ...

这样给api的地址过白之后就不会触发cc的频率和拦截点击机制了是吧，那这样的话，攻击者还是继续打api/v1的话是不是就没有CC防御了呢？

小樱

hackaq 发表于 2022/11/15 21:09
这样给api的地址过白之后就不会触发cc的频率和拦截点击机制了是吧，那这样的话，攻击者还是继续打api/v1 ...

针对api，基本只能靠优化php代码本身性能，或者做多后端多节点均衡负载，此时可提供多台服务器来同时运行api，或者启用ip访问频率黑名单来防御攻击。

hackaq

小樱 发表于 2022/11/15 21:17
针对api，基本只能靠优化php代码本身性能，或者做多后端多节点均衡负载，此时可提供多台服务器来同时运行 ...

好的 明白了 谢谢 做后端负载试试

小樱

hackaq 发表于 2022/11/15 21:46
好的 明白了 谢谢 做后端负载试试

按照一台2核2G vps对api能处理可达10w TPS（Transaction Per Second），1000W日活跃用户的站点，日访问峰值的时间点集中在晚上19：00，23：00是一天中活跃的峰值，也就是说会出现每秒90000个请求的情况，正常情况一台vps可带动1000W日活跃用户的站点。
也就是说每台vps服务器api代码优化针对正常访问需要能够支撑每秒90000个请求，对于异常CC攻击一般可达到三倍或者十倍的访问量，此时就需要根据系统负载情况做多节点部署后端增加api服务器数量。