百度云防護(hù)的CC防護(hù)功能已于近期重新優(yōu)化推出，這是主機(jī)幫至今用過強(qiáng)大的CC攻擊攔截功能之一。為什么這說呢？原因是百度云防護(hù)的這個CC攻擊可選的攔截特征實在太多了。

如果你不懂配置自定義CC防護(hù)規(guī)則的話，可以直接開啟智能CC防護(hù)，擁有三個模式，可以有效解決各類CC攻擊。

除了智能CC防護(hù)外，其精準(zhǔn)自定義CC功能非常強(qiáng)大。

下面我們以清晰的格式分別解釋這些百度云防護(hù) CC防護(hù)匹配條件的含義、作用和用法。

---

1. IP

• 含義: 客戶端的源IP地址。
• 作用: 作為最基礎(chǔ)的訪問者標(biāo)識符，用于對單個IP的請求頻率進(jìn)行統(tǒng)計和管控。
• 用法: 通常作為核心統(tǒng)計對象。例如：統(tǒng)計 IP 在 10 秒內(nèi)對任何資源的請求超過 100 次，則進(jìn)行攔截。

2. URI

• 含義: 完整的請求地址，包括路徑和查詢參數(shù)（例如：/api/user/login?id=123）。
• 作用: 精確定位到某個特定的資源或接口。
• 用法: 針對高敏感或高消耗的接口進(jìn)行防護(hù)。例如：統(tǒng)計 IP 在 10 秒內(nèi)訪問 URI (/api/user/login) 超過 5 次，則觸發(fā)挑戰(zhàn)。

3. URI Path

• 含義: URI中的路徑部分，不包含查詢參數(shù)（例如：/api/user/login）。
• 作用: 對某一類路徑下的所有請求進(jìn)行批量防護(hù)。
• 用法: 防護(hù)整個目錄或模塊。例如：統(tǒng)計 IP 在 10 秒內(nèi)訪問 URI Path (/api/) 超過 50 次，則進(jìn)行攔截。

4. Referer

• 含義: HTTP請求頭中的一個字段，表示該請求是從哪個頁面鏈接過來的。
• 作用: 用于判斷請求的來源是否合法，常用于防止盜鏈和識別惡意掃描來源。
• 用法: 匹配可疑或非法的來源。例如：Referer 等于 http://evil.com/hack.php 的請求，直接攔截。

5. Query String Parameter

• 含義: URL問號（?）后面的參數(shù)中的某一個具體參數(shù)的值（例如：?name=admin&pwd=123 中的 pwd）。
• 作用: 檢測攻擊者是否在頻繁嘗試爆破某個參數(shù)（如密碼、驗證碼）。
• 用法: 針對特定參數(shù)進(jìn)行頻率統(tǒng)計。例如：統(tǒng)計 IP 在 60 秒內(nèi)請求包含 Query String Parameter (pwd) 的頁面超過 20 次，則攔截。

6. Header

• 含義: HTTP請求的頭部信息，包含很多字段（如 User-Agent, Accept-Language等）。
• 作用: 識別偽造的請求頭或帶有特定攻擊特征的請求。
• 用法: 匹配自定義或特定的請求頭。例如：Header (X-Api-Key) 等于 非法密鑰 的請求，直接攔截。

7. Cookie

• 含義: 客戶端持有的會話憑證字符串（例如：sessionid=abc123; user=admin）。
• 作用: 通過會話標(biāo)識來統(tǒng)計請求頻率，防止攻擊者更換IP但維持同一會話進(jìn)行攻擊。
• 用法: 將Cookie作為統(tǒng)計對象。例如：統(tǒng)計 Cookie 在 10 秒內(nèi)對網(wǎng)站根路徑的請求超過 30 次，則攔截。

8. CookieName

• 含義: Cookie中某個具體Cookie的名字（例如：sessionid）。
• 作用: 定位到特定的Cookie，用于識別會話或用戶標(biāo)識。
• 用法: 常用于匹配會話固定攻擊或缺失關(guān)鍵Cookie的請求。例如：請求中不包含 CookieName (sessionid) 的，進(jìn)行觀察或挑戰(zhàn)。

9. Content-Type

• 含義: 請求頭中表示請求主體內(nèi)容類型的字段（例如：application/json, multipart/form-data）。
• 作用: 區(qū)分請求的數(shù)據(jù)類型，對特定類型的請求進(jìn)行頻率控制或攻擊檢測。
• 用法: 限制某些類型請求的頻率。例如：統(tǒng)計 IP 在 10 秒內(nèi)發(fā)送 Content-Type 為 application/json 的POST請求超過 20 次，則攔截。

10. Content-Length

• 含義: 請求頭中表示請求主體數(shù)據(jù)長度的字段（單位：字節(jié)）。
• 作用: 識別異常大的請求體，這可能是文件上傳攻擊或DDoS攻擊的一部分。
• 用法: 設(shè)置大小閾值。例如：Content-Length 大于 10000000 (10MB) 的請求，直接攔截。

11. X-Forwarded-For

• 含義: 一個事實標(biāo)準(zhǔn)的請求頭，用于在代理或負(fù)載均衡環(huán)境下標(biāo)識客戶端的原始IP。
• 作用: 在多層架構(gòu)中正確獲取用戶真實IP并進(jìn)行頻率統(tǒng)計。
• 用法: WAF配置為優(yōu)先從該頭獲取IP進(jìn)行統(tǒng)計。例如：統(tǒng)計 X-Forwarded-For 中的IP在 5 秒內(nèi)請求超過 100 次，則攔截。

12. Query String

• 含義: URL中問號（?）后面的整個參數(shù)字符串（例如：id=123&action=delete）。
• 作用: 檢測整個參數(shù)字符串是否匹配某個攻擊模式或是否被頻繁訪問。
• 用法: 匹配完整的參數(shù)組合。例如：Query String 等于 ?cmd=whoami 的請求，直接攔截。

13. Host

• 含義: 請求的目標(biāo)域名（例如：www.example.com）。
• 作用: 防止Host頭攻擊，并正確區(qū)分不同域名的流量（尤其在虛擬主機(jī)環(huán)境下）。
• 用法: 匹配惡意域名或非本站域名。例如：Host 不等于 www.example.com 的請求，進(jìn)行觀察或攔截。

14. Http-Method

• 含義: HTTP請求方法（例如：GET, POST, PUT, DELETE）。
• 作用: 對不同方法的請求實施不同的安全策略，通常非GET/POST方法的請求更敏感。
• 用法: 限制高危方法的使用頻率。例如：統(tǒng)計 IP 在 60 秒內(nèi)發(fā)送 Http-Method 為 DELETE 的請求超過 5 次，則攔截。

15. Body

• 含義: HTTP請求的主體內(nèi)容（例如：POST表單數(shù)據(jù)、JSON字符串等）。
• 作用: 檢測請求體中是否包含SQL注入、XSS等攻擊payload。
• 用法: 定義規(guī)則匹配Body中的特定字符串。例如：Body 包含 ' OR 1=1-- 的請求，直接攔截。（注意：此操作計算開銷大，需謹(jǐn)慎使用）

16. JA3

• 含義: 一種SSL/TLS客戶端握手指紋技術(shù)，可以生成一個唯一哈希值來標(biāo)識客戶端環(huán)境（如用的工具、操作系統(tǒng)等）。
• 作用: 非常精準(zhǔn)地識別惡意客戶端軟件（如掃描器、 bots），即使它們更換IP、User-Agent等也無法逃避檢測。
• 用法: 直接匹配已知的惡意工具指紋庫。例如：JA3 等于 xxxxxxxxx (某個已知攻擊工具的JA3指紋) 的請求，直接攔截。這是一種非常高級且有效的防護(hù)手段。

---

總結(jié)

條件	核心含義	主要作用	典型用法
IP	客戶端地址	基礎(chǔ)頻率統(tǒng)計	單IP高頻訪問攔截
URI/Path	請求資源地址	保護(hù)特定接口/目錄	登錄接口防爆破
JA3	TLS握手指紋	精準(zhǔn)識別惡意客戶端	封禁已知攻擊工具
其他頭/參數(shù)	請求元數(shù)據(jù)	細(xì)化規(guī)則、防御特定攻擊	防盜鏈、防參數(shù)污染、防異常請求

在實際配置中，通常會組合多個條件來構(gòu)建更精確、誤報更少的防護(hù)規(guī)則。例如：“統(tǒng)計 IP + URI Path (/api/login) 在 10 秒內(nèi)超過 5 次” 的規(guī)則，就比單獨(dú)統(tǒng)計IP或URI要精準(zhǔn)得多。