腾讯云WAF CC攻击防护规则配置完全指南：从入门到精通

引言：CC攻击——Web应用安全的头号威胁

在当今数字化业务高度依赖Web应用的背景下，CC攻击（Challenge Collapsar）已成为威胁网站可用性的主要攻击手段之一。与传统DDoS攻击不同，CC攻击是一种应用层攻击，攻击者通过控制僵尸网络或代理服务器集群，模拟海量正常用户的访问行为，向目标服务器的动态接口（如登录页面、搜索功能、下单接口）发起高频请求。由于每个请求都符合HTTP协议规范，传统网络层防护设备难以识别和拦截，但聚合效应却能快速耗尽服务器的CPU、内存和数据库连接资源，导致服务瘫痪。

据统计，2025年以来应用层DDoS攻击同比增长超过40%，其中CC攻击因其隐蔽性强、攻击成本低而成为黑客首选武器。更令人担忧的是，混合攻击模式占比显著增加，攻击者常将CC攻击与TCP反射、TCP连接攻击等多种手法组合使用，进一步加大了防御难度。面对这一严峻形势，Web应用防火墙（WAF）的CC防护能力成为每家企业必选的安全防线。

腾讯云Web应用防火墙（WAF）提供了完善的CC攻击防护解决方案，支持紧急CC防护与自定义CC规则两种模式，并提供了基于IP和基于SESSION两种识别维度。本文将从零开始，系统讲解腾讯云WAF中CC防护规则的配置方法、参数调优策略、API编程化管理以及不同业务场景下的最佳实践。

需要先登录腾讯云控制台，点击：腾讯云控制台，还没有账号，点击：注册后再关联，已有账号点击：登录后再关联

一、CC攻击的原理与WAF防护机制

1.1 CC攻击的工作方式

CC攻击的全称是Challenge Collapsar，其攻击原理并不复杂但极具破坏力。攻击者通常会针对网站上消耗资源较多的动态页面发起高频请求，例如搜索接口需要查询数据库、登录接口需要验证密码、下单接口需要处理事务等。当攻击者控制成千上万的肉鸡或代理IP同时向这些接口发起请求时，服务器的处理能力很快就会被耗尽。

一个典型的CC攻击特征包括：请求间隔过于规律或完全随机、直接访问深层接口而跳过正常浏览流程、只请求目标攻击接口而忽略CSS、JS、图片等关联资源。这些特征使得CC攻击既难以被普通日志分析发现，又难以被简单的IP黑名单防御。

1.2 人机验证——CC防御的核心手段

人机验证是防御CC攻击的核心技术手段，其原理是在识别到异常高频访问行为时，通过验证码、JavaScript挑战等方式区分真实人类用户和自动化程序。当某个IP或SESSION的请求频率超过预设阈值时，WAF会触发人机验证挑战，只有通过验证的请求才能继续访问目标资源。

腾讯云WAF的人机验证支持多种形式，包括传统的验证码输入和更先进的滑动验证等。其中高阶人机验证体验更好、安全性更高，超过限速频率后弹出验证码进行验证，既有效拦截了自动化攻击工具，又尽可能减少了对正常用户的干扰。

1.3 腾讯云WAF的CC防护架构

腾讯云WAF提供两种CC防护模式，两者不能同时开启：

• 紧急CC防护：基于大数据分析，对网站访问历史及源站异常响应（如超时、响应延迟）进行综合分析，自动生成防护策略，实时阻断高频访问请求。该模式默认关闭，开启后当网站QPS达到1000以上时会自动触发。适用于大规模CC攻击突发场景，但可能存在一定误报，建议配合IP封堵状态查询及时处理误拦。
• 自定义CC规则：支持管理员根据业务特征手动配置防护规则，可基于用户源IP或SESSION频率进行定制化保护。执行动作包括观察、人机识别、阻断、精准阻断、JS校验、精准人机识别等多种选项。适用于有明确防护路径和精细化策略要求的场景。

二、自定义CC防护规则的详细配置

2.1 进入CC防护配置页面

配置自定义CC防护规则的第一步是进入WAF控制台的CC防护配置页面。操作路径如下：登录Web应用防火墙控制台，在左侧导航栏选择Web应用防火墙 > 配置中心 > 基础安全，然后在页面左上角选择需要防护的域名，单击CC防护标签进入配置页面。

2.2 基于访问源IP的CC防护规则

基于IP的CC防护策略是最基础的配置方式，不需要对SESSION维度进行任何设置，直接配置即可生效。在CC防护页面点击添加规则，弹出规则配置窗口，需要填写以下核心参数：

• 规则名称：自定义规则名称，建议采用能够反映规则用途的命名方式，如login_api_cc_protect，最长支持50个字符。
• 识别模式：选择IP，表示以访问来源IP作为频率统计的维度。
• 匹配条件：包括相等、前缀匹配和包含三种方式。例如需要防护登录接口/login.php，可以选择相等匹配；如需防护/api/下所有接口，可选择前缀匹配。
• 高级匹配：支持自定义规则的全部匹配字段设置，可以精细化到URL、参数、Header等维度。
• 访问频次：这是CC防护的核心参数，决定何时触发防护动作。建议设置为网站正常访问速度的3到10倍。例如网站平均每分钟20次访问，可配置为60至200次/分钟，具体数值需根据被攻击严重程度调整。
• 执行动作：可选观察、人机识别和阻断三种。观察模式仅记录不拦截，适合规则测试阶段；人机识别触发验证码挑战；阻断直接拒绝请求。
• 惩罚时长：触发规则后对违规IP的处置持续时间，最短1分钟，最长可达一周。
• 优先级：取值范围1到100，数字越小优先级越高。相同优先级下，创建时间越晚的规则优先级越高。

配置完成后点击确定即可生效。当访问触发规则时，WAF会返回拦截页面，管理员可以在左侧导航栏的IP管理 > IP封堵状态中查看实时阻断的IP信息，并可对IP进行加白或加黑处理。

2.3 基于SESSION的CC防护规则

基于SESSION的CC防护能够有效解决在办公网、商超和公共WiFi等场景下，多个用户共用相同IP出口而导致的误拦截问题。因为在这些场景中，成百上千的真实用户可能共享同一个公网IP，如果仅基于IP进行频率限制，很容易将一个IP下所有用户的累计请求误判为攻击。

配置基于SESSION的CC防护需要两个步骤：

第一步：设置SESSION字段

进入CC防护配置页面，单击SESSION设置中的新增按钮，进入SESSION字段配置页面。需要配置以下参数：

• SESSION位置：可选择COOKIE、GET或POST。其中GET或POST是指HTTP请求中的参数内容，而非HTTP头部信息。
• 匹配说明：位置匹配或字符串匹配。
• SESSION标识：用于识别SESSION的取值标识。
• 开始位置与结束位置：字符串或位置匹配的起始和结束位置。

配置示例：如果一条请求的完整COOKIE内容为cookie_1=123;cookie_2=456;cookie_3=789，在字符串匹配模式下，SESSION标识设为cookie_2=，结束字符设为;，则匹配到的SESSION值为456。在位置匹配模式下，SESSION标识设为cookie_2，开始位置0，结束位置2，同样匹配到456。

配置完成后可以单击测试按钮验证SESSION提取是否正确。

第二步：添加基于SESSION的CC规则

SESSION字段设置完成后，返回CC防护规则添加页面，在识别模式中选择SESSION，其他配置项与基于IP的规则相同。此时频率统计将以SESSION维度进行，而非IP维度，有效避免了多用户共享IP时的误拦截问题。

三、访问频次阈值的科学设置

3.1 阈值设置的核心原则

访问频次阈值的设置是CC防护配置中最关键的环节，需要在安全性和用户体验之间找到平衡点。阈值设置过低会导致正常用户被误拦截，严重影响业务转化率和用户满意度；阈值设置过高则可能让攻击流量漏过，防护形同虚设。

科学设置阈值需要综合考虑以下因素：

• 业务特性：不同业务的用户访问模式存在显著差异。电商支付接口的访问频率远低于媒体播放网站的访问频率。
• 用户分布：如果网站有大量海外用户，需谨慎设置地理限制规则；如果用户主要通过移动端访问，需考虑移动网络特性。
• 正常流量基线：需要先了解业务在正常情况下的QPS、单IP请求频率等指标。

3.2 不同业务场景的推荐阈值

根据行业实践，不同业务类型的阈值设置参考如下：

• 电商网站支付接口：建议采用严格模式，阈值设为5次/分钟。支付接口涉及资金安全且正常用户操作频率极低，严格的频率限制能有效防止支付接口被恶意刷单。需关注支付失败率波动，及时调整。
• 登录接口：建议阈值设为20至50次/分钟。登录接口是暴力破解的重灾区，较低阈值能有效防御密码爆破攻击。
• 搜索接口：建议阈值设为20至50次/分钟。搜索通常消耗数据库资源，需要适当限制。
• API网关接口：建议采用参数级检测加客户端证书认证，阈值基于业务基线动态调整。需特别防范API密钥爆破攻击。
• 普通资讯类网站：单IP基础阈值可设为50至200次/分钟。资讯站以静态内容为主，对频率的容忍度较高。
• 媒体播放网站：可设为100次/分钟的宽松阈值，但需注意CDN边缘节点的特殊放行。
• 静态资源：CSS、图片等静态资源可设置较高阈值，500次/分钟以上。

3.3 腾讯云WAF的智能阈值能力

腾讯云WAF高级版及以上版本提供了智能CC防护能力，采用AI加规则双引擎进行攻击识别。系统能够基于机器学习算法自动学习正常访问基线，动态调整阈值。此外还支持综合源站异常响应（超时、响应延迟）和网站行为大数据分析进行智能决策。

对于低频分布式CC攻击，传统基于频率的规则可能失效，因为每个IP的请求频率都不高，但成千上万个IP的累计请求却能造成巨大压力。这种情况下，需要采用AI行为分析模型，通过多维度特征（如访问路径、设备指纹、时间分布等）进行综合判断。实践表明，AI引擎可通过异常度评分模型有效识别此类攻击，评分大于0.8时判定为恶意请求。

四、执行动作与惩罚策略的精准选择

4.1 五种执行动作详解

腾讯云WAF的自定义CC规则支持多种执行动作：

• 观察（代码值20）：仅记录匹配规则的请求，不进行任何拦截或挑战。适合在规则上线初期进行测试验证，观察规则是否会误伤正常流量。
• 人机识别（代码值21）：触发验证码挑战，用户需完成验证才能继续访问。这是平衡安全与体验的常用选择。
• 阻断（代码值22）：直接拒绝请求，返回拦截页面。适用于确认存在攻击且不需要区分人机的场景。
• 精准拦截（代码值23）：更精细化的拦截策略，可结合其他条件。
• JS校验（代码值27）：通过JavaScript挑战验证客户端是否具备完整的浏览器执行环境，能有效拦截简单脚本工具。

4.2 惩罚时长的设置策略

惩罚时长决定了违规IP或SESSION被限制访问的持续时间。设置惩罚时长需要权衡两个因素：

• 太短：攻击者可以等待惩罚结束后继续攻击，导致防护效果打折，WAF需要反复处理相同的攻击源。
• 太长：如果出现误拦截，正常用户将被长时间拒绝访问，严重影响用户体验和业务。

建议的惩罚时长设置策略：对于首次触发规则的IP，可设置2至5分钟的短时惩罚；对于多次触发规则的IP，可逐步延长惩罚时间，最长可达一周。腾讯云WAF支持IP封堵状态的实时查看，管理员可对误拦的IP手动加白。

五、通过API编程化管理CC防护规则

5.1 WAF API概述

对于需要自动化管理CC防护规则的企业，腾讯云WAF提供了完整的API接口。API请求域名为waf.tencentcloudapi.com，默认接口请求频率限制为20次/秒。主要涉及的API包括：

• UpsertCCRule：创建或更新CC防护规则
• DescribeCCRule：查询CC防护规则列表
• UpsertCCAutoStatus：更新紧急CC防护状态

5.2 Python SDK调用示例

以下是通过腾讯云Python SDK调用WAF API创建CC防护规则的完整示例：

# -*- coding: utf-8 -*-
import json
from tencentcloud.common import credential
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile
from tencentcloud.waf.v20180125 import waf_client, models

def create_cc_rule(secret_id, secret_key, domain, rule_name, url, freq_limit, freq_interval, action_type, punish_time):
    try:
        cred = credential.Credential(secret_id, secret_key)
        httpProfile = HttpProfile()
        httpProfile.endpoint = 'waf.tencentcloudapi.com'
        clientProfile = ClientProfile()
        clientProfile.httpProfile = httpProfile
        client = waf_client.WafClient(cred, 'ap-guangzhou', clientProfile)
        req = models.UpsertCCRuleRequest()
        params = {
            'Domain': domain,
            'Name': rule_name,
            'Url': url,
            'Limit': str(freq_limit),
            'Interval': str(freq_interval),
            'ActionType': str(action_type),
            'PunishTime': str(punish_time),
            'MatchFunc': '0',
            'Priority': '50'
        }
        req.from_json_string(json.dumps(params))
        resp = client.UpsertCCRule(req)
        print(resp.to_json_string())
        return resp
    except Exception as err:
        print('调用失败：' + str(err))
        return None

if __name__ == '__main__':
    SECRET_ID = 'your-secret-id'
    SECRET_KEY = 'your-secret-key'
    create_cc_rule(
        secret_id=SECRET_ID,
        secret_key=SECRET_KEY,
        domain='www.example.com',
        rule_name='login_api_protect',
        url='/login.php',
        freq_limit=30,
        freq_interval=60,
        action_type=21,
        punish_time=5
    )

5.3 API参数说明

上述代码中核心参数的含义如下：

• Limit：CC检测阈值，即在一个检测周期内允许的最大请求次数。
• Interval：CC检测周期，单位为秒。例如Interval=60，Limit=30表示60秒内最多允许30次请求。
• ActionType：执行动作，20表示观察，21表示人机识别，22表示阻断，23表示精准拦截，27表示JS校验。
• MatchFunc：匹配方式，0表示相等匹配，1表示前缀匹配，2表示包含匹配。

六、监控、告警与规则运维

6.1 防护效果监控

配置CC防护规则后，需要持续监控防护效果。腾讯云WAF控制台提供以下监控手段：

• 攻击日志查询：可以按照过滤条件查询Web攻击日志信息，并下载查询结果。
• IP封堵状态查看：在IP管理 > IP封堵状态中查看实时阻断的IP信息。
• 防护事件统计：查看域名防护详情，了解CC攻击的拦截次数、攻击源分布等。

6.2 规则调优策略

CC防护规则需要持续调优才能保持最佳效果：

• 初期使用观察模式：新规则上线时先设置为观察模式，运行一段时间确认不会误拦正常流量后再切换为拦截或人机识别模式。
• 根据业务变化调整阈值：业务高峰期（如电商大促）可适当放宽阈值，避免误拦正常用户；业务低谷期可收紧阈值，提高安全性。
• 定期审查封堵IP：定期查看IP封堵列表，将误拦的IP加白，将确认为攻击源的IP加入黑名单。
• 结合紧急模式应对突发攻击：当遭遇大规模CC攻击时，可临时开启紧急CC防护模式。但需注意紧急模式与自定义规则不能同时开启。

6.3 与其他安全功能的协同

CC防护不应孤立使用，应与其他WAF功能协同构建纵深防御体系：

• IP黑白名单：将已知的攻击IP加入黑名单，可信IP加入白名单。
• 地域封禁：对不需要提供服务的国家和地区进行封禁。
• 扫描封禁：封禁恶意扫描行为。
• 精准白名单：对搜索引擎爬虫、健康检查等合法请求进行白名单放行。
• 批量防护：对于采用相同防护策略的多个域名，可使用批量防护模块统一配置，减少逐一配置的繁琐。

七、不同场景下的CC防护配置案例

7.1 场景一：电商网站登录接口防护

电商网站的登录接口是暴力破解和撞库攻击的重灾区。推荐配置如下：

• 识别模式：IP
• 匹配URL：/login.php
• 匹配方式：相等
• 访问频次：10次/60秒
• 执行动作：人机识别
• 惩罚时长：10分钟

如果网站用户多来自办公网或校园网等共享IP环境，建议改用SESSION识别模式，以用户SESSION为维度进行频率统计，避免多用户共享IP导致的误拦。

7.2 场景二：API网关防刷防护

API接口容易被恶意调用刷量，消耗服务器资源。推荐配置：

• 识别模式：IP
• 匹配URL：/api/v1/*
• 匹配方式：前缀匹配
• 访问频次：100次/60秒
• 执行动作：阻断
• 惩罚时长：30分钟

对于需要更高安全性的API，可结合参数级检测和客户端证书认证。

7.3 场景三：资讯网站整体防护

资讯类网站以静态内容为主，对频率的容忍度较高，但需要防止爬虫过度抓取。推荐配置：

• 识别模式：IP
• 匹配URL：/*
• 匹配方式：前缀匹配
• 访问频次：200次/60秒
• 执行动作：人机识别
• 惩罚时长：5分钟

7.4 场景四：紧急模式应对突发大规模攻击

当网站遭遇突发性大规模CC攻击（QPS达到1000以上），自定义规则可能来不及精细配置或无法有效应对海量请求。此时应开启紧急CC防护模式：

• 进入CC防护配置页面
• 在紧急CC防护模块中单击开启并确认操作
• 开启前需确保自定义CC规则处于未启用状态
• 紧急模式会自动进行大数据分析并生成防护策略

紧急模式虽然便捷，但可能存在一定误报，建议开启后密切关注IP封堵状态，及时处理误拦的IP。

八、常见问题与解答

问1：紧急CC防护和自定义CC规则可以同时开启吗？

不可以。紧急CC防护和自定义CC规则不能同时启用。开启紧急模式前需要先确认自定义CC规则处于未启用状态。如果网站有明确的防护路径需求，建议使用自定义CC规则；如果遭遇大规模突发攻击，可临时切换为紧急模式。

问2：如何避免在办公网、校园网等共享IP场景下的误拦截？

在办公网、商超、公共WiFi等场景中，多个用户共享同一个公网IP出口，基于IP的频率限制很容易导致误拦截。解决方案是使用基于SESSION的CC防护策略。需要先在SESSION设置中配置SESSION字段（如COOKIE中的用户标识），然后在CC规则中选择SESSION识别模式，这样频率统计将基于用户SESSION而非IP地址。

问3：CC防护规则的优先级是如何确定的？

优先级取值范围为1到100的整数，数字越小代表执行优先级越高。当多条规则同时匹配同一个请求时，优先级最高的规则优先生效。如果两条规则优先级相同，则创建时间越晚的规则优先级越高。建议为精细化规则（如特定API的防护）设置较高的优先级（较小的数字），为全局规则设置较低的优先级。

问4：访问频次阈值应该如何确定？

访问频次阈值应基于业务正常流量特征来确定。建议先通过日志分析了解网站正常的单IP请求频率，然后将阈值设置为正常值的3到10倍。不同业务场景的推荐值差异很大：登录接口建议20-50次/分钟，普通资讯站可设为50-200次/分钟，静态资源可放宽至500次/分钟以上。阈值设置过低会误拦正常用户，过高则可能让攻击流量漏过。

问5：CC规则配置后多久生效？如何验证规则是否生效？

CC规则配置完成后通常立即生效。验证方法包括：在规则配置初期使用观察模式运行，通过WAF控制台的攻击日志查询功能查看是否有请求匹配该规则；也可以模拟触发条件进行测试，例如在短时间内从同一IP多次访问目标URL，观察WAF的响应是否符合预期（返回拦截页面或触发人机验证）。确认规则正常工作后，再将执行动作从观察切换为拦截或人机识别。

问6：遭遇CC攻击时，WAF会返回什么？

当请求触发CC防护规则且执行动作为阻断时，WAF会返回自定义的拦截页面。如果执行动作为人机识别，则会弹出验证码或滑动验证挑战。管理员可以在WAF控制台的IP管理 > IP封堵状态中查看所有被实时阻断的IP信息。对于被误拦的IP，管理员可以手动将其加白恢复访问。