[TOC]
京策盾云加速的防cc規(guī)則主要由三部分組成匹配器，過濾器，動作。

• 匹配器: 用來匹配用戶的請求，可以匹配用戶IP,Host,req_uri(帶參數(shù)),uri(不帶參數(shù)),user_agent和referer。一個匹配器可以有多個匹配項，添加多個匹配項時，此匹配器所有的匹配項都滿足時，這個匹配器才為真。如果匹配了請求，就使用下面的過濾器來對請求進行驗證。
• 過濾器: 用來對客戶請求進行驗證，比如統(tǒng)計請求數(shù)是否超限，是否輸入對驗證碼，是否跳轉(zhuǎn)到正確的URL等，如果驗證次數(shù)超過指定次數(shù)，那么就執(zhí)行下面指定的動作來攔截。
• 動作: 當(dāng)請求無法通過過濾器時，執(zhí)行相應(yīng)的動作。

匹配器

匹配器由匹配項，操作符，匹配值組成。比如匹配項是IP，操作符是=，匹配值是192.168.0.1，表示客戶端IP是192.168.0.1才算匹配。

匹配項

• IP地址 – 客戶端IP地址
• 域名 – 客戶請求的域名
• 請求URI – 請求的url，如/123.php?a=1，保留參數(shù)匹配。
• 請求URI(不帶參數(shù)) – 去除參數(shù)的url，如原始/123.php?a=1，經(jīng)處理變成/123.php再去匹配
• 請求方法 – 如GET, POST等
• 瀏覽器UA – 瀏覽器名稱，如Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
• 請求來源 – 如http://demo.a.com/console/index.html
• 國家代碼 – 由于兩位字母表示某個國家的IP地址，比如CN表示在中國網(wǎng)絡(luò)下請求網(wǎng)站的客戶，完整的國家代碼列表https://www.iban.com/country-codes

操作符

• 等于 – 即與匹配值完全匹配條件才成立
• 不等于 – 參考等于
• 包含- 要匹配的值包含有匹配值條件就成立，如請求URI為/index.php，匹配值為php的話，條件成立
• 不包含 – 參考包含
• 前綴匹配 – 即從前面開始匹配，如請求URI為/api/index，當(dāng)匹配值為/api時，條件成立，值為index時，條件不成立
• 后綴匹配 – 即從尾部開始匹配，如請求URI為/api/index，當(dāng)匹配值為index時，條件成立，匹配值為/api時，條件不成立
• 正則匹配 – 如^/[0-9]+，即匹配以/開頭，后面接數(shù)字的URI

過濾器

請求速率

限制客戶在一定時間內(nèi)的總請求次數(shù)。可以限制總的URL請求數(shù)，也可以限制同一個URL累積的請求數(shù)。

302跳轉(zhuǎn)

當(dāng)客戶請求京策盾云加速節(jié)點時，京策盾云加速會302返回一個url，客戶跟隨訪問這個URL才算驗證通過，否則算失敗。

瀏覽器識別

客戶請求京策盾云加速節(jié)點時，京策盾云加速返回一段帶跳轉(zhuǎn)功能的js代碼，客戶跟隨訪問這個URL才算驗證通過，否則算失敗。

滑動驗證

客戶請求京策盾云加速節(jié)點時，京策盾云加速返回一個滑動條，客戶需要拖動滑動條才算驗證通過，否則算失敗。

驗證碼

客戶請求京策盾云加速節(jié)點時，京策盾云加速返回一個驗證碼，客戶需要輸入正確的驗證碼提交才算驗證通過，否則算失敗。

URL鑒權(quán)

url鑒權(quán)過濾器適用時API類防cc攻擊。需要與客戶端配合，cdn定義一個密鑰，客戶端md5如uri,時間戳,隨機數(shù),密鑰，得出的值傳給cdn驗證，驗證失敗到一定次數(shù)將拉黑這個IP。URL鑒權(quán)提供兩種鑒權(quán)方式，A和B。

• 方式A
  URL格式為http://DomainName/img/FileName?sign=md5hash&t=timestamp
  timestamp為當(dāng)前時間戳，如1598342331（簽名用的時間戳與參數(shù)t的時間戳需要一致），md5hash為md5(密鑰uri時間戳)，其中密鑰為在cdn定義好的密鑰，md5hash為32位，uri為不帶參數(shù)的路徑，且要轉(zhuǎn)為小寫再做md5，如/img/filename，時間戳為1598342331(精確到秒就行)
  方式A的設(shè)置如下
  
  n秒內(nèi)，最大失敗次數(shù)?– 即如果在60秒內(nèi)，驗證失敗超過5次的話，拉黑IP
  鑒權(quán)方式?– 這里選TypeA
  密鑰?– 與其它數(shù)據(jù)一起md5得到的hash，客戶端同樣使用這里定義的密鑰來md5
  簽名參數(shù)名?– 默認(rèn)為sign
  時間戳參數(shù)名?– 默認(rèn)t
  最大時間相差(秒)?– 允許上下相關(guān)多少秒，超過此范圍簽名認(rèn)為無效
  簽名使用次數(shù)?– 帶同一個簽名的url允許訪問的次數(shù)，0為不限制，越過限制則拉黑IP
  javascript示例代碼：

// 獲取時間戳
let timeStamp = Date.parse(new Date()) / 1000;

// 將要請求的原始url
let url = "http://for-test.a.com/index.php?model=abc"

// 從原始url中獲取其路徑
let urlObj = new URL(url)
let path = urlObj.pathname

// cdn后臺配置的密鑰
let key = "4001108100"

// 對密鑰、路徑、時間戳md5簽名
let sign = md5(key+path+timeStamp)

// 生成新的請求url
if (urlObj.search == "") {
	let newUrl = url+"?sign=" + sign+"&t="+timeStamp
} else {
	let newUrl = url+"&sign=" + sign+"&t="+timeStamp
}
console.log(newUrl)

• 方式B
  URL格式為http://DomainName/img/Filename?sign=timestamp-rand-uid-md5hash
  timestamp為當(dāng)前時間戳，如1598342331,rand為隨機字符串（只需要取一次，之后都是用這個），uid用戶id暫時不用，設(shè)置為0，md5hash為md5(uri-時間戳-隨機字符串-uid-密鑰)，uri轉(zhuǎn)為小寫再md5，md5的計算包含連接符-
  方式B設(shè)置如下：
  
  方式B與方式A的設(shè)置不一樣的方式在于，方式B不需要傳時間戳的參數(shù)，因為已經(jīng)包括在簽名參數(shù)里了。
  其中的設(shè)置與方式A一樣。

點擊驗證

待開發(fā)

動作

ipset

使用iptables的ipset模塊攔黑ip，拉黑IP后，此IP不再能夠消耗資源，效果最好

exit

cdn自己主動斷開連接，此IP還是能夠與cdn建立連接來消耗資源

log

不攔黑，不斷開，一直使用過濾器過濾

規(guī)則

規(guī)則由匹配器，過濾器，動作組成。

這里需要說明的是可以指定一個或兩個過濾器。
當(dāng)指定一個過濾器時，當(dāng)這個過濾器驗證失敗時，直接執(zhí)行動作;
當(dāng)指定兩個過濾器時，即指定過濾器1和過濾器2，那么當(dāng)過濾器1驗證失敗，這時還不會執(zhí)行動作，而是繼續(xù)使用過濾器2驗證，只有當(dāng)兩個過濾器都驗證失敗時，才執(zhí)行動作。這樣可以有效減少誤封，比如過濾器1使用請求頻率，過濾器2使用滑動驗證，這樣可以防止誤封請求量比較大的客戶。

規(guī)則組

一個或多個規(guī)則組成一個。網(wǎng)站就是綁定的規(guī)則組。