HTTP DDoS Angriffsschutz verwaltetes Regelwerk
Der verwaltete Regelsatz CIS HTTP DDoS Attack Protection ist ein Satz vorkonfigurierter Regeln, die dazu dienen, bekannte Angriffsvektoren der Schicht 7 (Anwendungsschicht) DDoS im globalen Netzwerk CIS zu erkennen und zu entschärfen.
Derzeit ist der HTTP DDoS Angriffsschutz-Regelsatz nur über die CIS API verfügbar.
Der verwaltete Regelsatz trägt zum Schutz vor:
- Bekannte Angriffsmuster und Tools DDoS
- Verdächtiges Anfrageverhalten
- Verstöße gegen das Protokoll
- Anfragen, die übermäßige Herkunftsfehler erzeugen
- Verkehrsfluten, die auf den Ursprung oder den Cache abzielen
- Andere Angriffsvektoren auf der Anwendungsebene
Der verwaltete Regelsatz HTTP DDoS Attack Protection ist für alle Kunden von CIS immer aktiviert und kann nicht deaktiviert werden. Sie können jedoch anpassen, wie der Regelsatz auf erkannte Angriffe reagiert.
Der Regelsatz bietet auch Einblick in die von CIS abgeschwächten Angriffe auf Layer 7 DDoS und ermöglicht es Ihnen, sowohl aktive als auch historische Angriffsaktivitäten zu überprüfen.
Regelsatzkonfiguration
Wenn Sie ein großes Volumen an legitimem Datenverkehr erwarten, können Sie die Einstellungen für den Angriffsschutz HTTP DDoS anpassen, um Fehlalarme zu reduzieren, bei denen legitime Anfragen fälschlicherweise als Angriffsdatenverkehr erkannt und blockiert oder angefochten werden.
Sie können das Verhalten der Regeln im verwalteten Regelsatz anpassen, indem Sie die folgenden Parameter ändern:
- Die durchgeführte Aktion, wenn ein Angriff entdeckt wird.
- Der Empfindlichkeitsgrad der Mechanismen zur Erkennung von Angriffen.
Bestimmte Aktionen und Empfindlichkeitsstufen sind nur auf bestimmten CIS Plänen verfügbar.
Derzeit können Sie Überschreibungen auf Kontoebene für den verwalteten Regelsatz HTTP DDoS Attack Protection nur über die API definieren.
Um das Regelverhalten anzupassen, verwenden Sie die Regelsatz-APIs in der Phase ddos_l7.
Verfügbarkeit
Das verwaltete Regelwerk HTTP DDoS Attack Protection schützt Kunden von CIS in allen Tarifen und gilt für alle Zonen. Kunden können den Regelsatz sowohl auf Zonen- als auch auf Kontoebene konfigurieren.
Kunden mit Enterprise-Tarifen können bis zu 10 Überschreibungen (oder bis zu 10 Regeln bei Verwendung der API) mit benutzerdefinierten Ausdrücken erstellen, um den Schutz von DDoS für verschiedene Kategorien eingehender Anfragen anzupassen.
Kunden mit Standardtarifen können nur eine Überschreibung erstellen und den Regelausdruck nicht anpassen. In diesem Fall gilt die einzelne Überschreibung (die eine oder mehrere Konfigurationseinstellungen enthält) für alle eingehenden Anfragen.
Parameter
Konfigurieren Sie den verwalteten Regelsatz HTTP DDoS Attack Protection, um die Aktion zu ändern, die auf einen bestimmten Angriff angewendet wird, oder um die Empfindlichkeitsstufe des Erkennungsmechanismus zu ändern.
Sie können Überschreibungen mithilfe der Regelsatz-API definieren.
Die folgenden Parameter sind im verwalteten Regelsatz HTTP DDoS Angriffsschutz verfügbar:
- Aktion
- Vertraulichkeitsstufe
Aktion
Name der API-Eigenschaft: action.
Die Aktion bestimmt, wie CIS mit HTTP Anfragen umgeht, die den Regeln im verwalteten Regelsatz HTTP DDoS Attack Protection entsprechen.
| Aktion | API-Wert | Beschreibung |
|---|---|---|
| Block | block |
Blockiert HTTP Anfragen, die dem Regelausdruck entsprechen. |
| Verwaltete Abfrage | managed_challenge |
|
| Interaktive Herausforderung | challenge |
Stellt eine interaktive Herausforderung für Clients dar, die HTTP Anfragen stellen, die dem Regelausdruck entsprechen. |
| Protokollierung | log |
Nur verfügbar bei Enterprise-Tarifen mit Advanced DDoS Protection. Protokolliert Anfragen, die mit dem Ausdruck einer Regel zur Erkennung von HTTP DDoS Angriffen übereinstimmen. Empfohlen, um eine Regel zu überprüfen, bevor eine strengere Maßnahme ergriffen wird. |
| Verbindung schließen | Nicht anwendbar (Interne Regelaktion, die Sie nicht in Überschreibungen verwenden können) | Weist den Client an, eine neue Verbindung aufzubauen, indem er keep-alive deaktiviert, anstatt die bestehende Verbindung wieder zu verwenden. Bestehende Anfragen sind davon nicht betroffen. |
| Schließen der Verbindung erzwingen | Nicht anwendbar (Interne Regelaktion, die Sie nicht in Überschreibungen verwenden können). |
|
| DDoS Dynamisch | Nicht anwendbar (Interne Regelaktion, die Sie nicht in Überschreibungen verwenden können). | Führt eine bestimmte Aktion gemäß einer Reihe von internen Richtlinien durch, die von CIS definiert wurden. Bei der ausgeführten Aktion kann es sich um eine der aufgelisteten Aktionen oder um eine andere, nicht angegebene Schadensbegrenzung handeln. |
Vertraulichkeitsstufe
Name der API-Eigenschaft: sensitivity_level.
Die Empfindlichkeitsstufe legt fest, wie aggressiv die Regel Angriffe erkennt, indem sie die Schwellenwerte für die Schadensbegrenzung anpasst:
- Eine höhere Empfindlichkeit verwendet niedrigere Schwellenwerte und erkennt Angriffe aggressiver.
- Die niedrigere Empfindlichkeit verwendet höhere Schwellenwerte und ist weniger aggressiv.
Die verfügbaren Empfindlichkeitsstufen sind:
| UI-Wert | API-Wert |
|---|---|
| Hoch | default |
| Mittel | medium |
| Niedrig | low |
| Im Wesentlichen aus | eoff |
Die Standardempfindlichkeitsstufe ist Hoch.
Wenn Sie die Option Im Wesentlichen aus wählen, löst die Regel normalerweise keine Schadensbegrenzungsmaßnahmen aus, einschließlich Protokollierung. Wenn ein Angriff jedoch ein außergewöhnliches Ausmaß erreicht, werden die Schutzsysteme von CIS dennoch Abhilfemaßnahmen ergreifen, um das Netz CIS zu schützen.
Wenn Sie "Im Wesentlichen aus" wählen, wird eine extrem niedrige Empfindlichkeitsstufe eingestellt. In den meisten Fällen wird der Datenverkehr nicht abgeschwächt, aber außergewöhnlich große Angriffe werden dennoch abgeschwächt, um die Stabilität des Netzes zu erhalten.
Die Empfindlichkeit steuert, ob der Datenverkehr als Angriff erkannt wird. Die Aktion steuert, was passiert, wenn ein Angriff erkannt wird.
Wenn Sie Protokoll wählen, werden die Anfragen protokolliert und im Dashboard ohne Abschwächung angezeigt. Wie bei "Im Wesentlichen ausgeschaltet" werden außergewöhnlich große Angriffe immer noch abgeschwächt, um das Netz CIS zu schützen.
Regel-Kategorien
Die von HTTP DDoS verwalteten Regeln zum Schutz vor Angriffen sind in die folgenden Kategorien (Tags) eingeteilt, die auf der Art des Datenverkehrs und dem Abwehrverhalten basieren.
| Name | Beschreibung |
|---|---|
botnets |
Regeln zur Erkennung von Anfragen, die von bekannten Botnetzen stammen. Diese Regeln haben eine sehr hohe Erkennungsgenauigkeit und ein geringes Risiko von Fehlalarmen. Es wird empfohlen, dass Sie diese Regeln aktiviert lassen. |
unusual-requests |
Regeln, die Anfragen mit verdächtigen Merkmalen identifizieren, die im legitimen Datenverkehr normalerweise nicht zu beobachten sind. |
advanced |
Regeln im Zusammenhang mit Funktionen, die für Unternehmenskunden verfügbar sind. |
generic |
Regeln, die eine Flut von Anfragen erkennen und eindämmen. Diese Regeln sind wirksam gegen Angriffe ohne bekannte Signaturen, können aber auch bei einem ungewöhnlich hohen Aufkommen an legitimem Datenverkehr ausgelöst werden. Um das Risiko von Fehlalarmen zu verringern, verwenden diese Regeln einen höheren Schwellenwert für die Aktivierung von Anfragen pro Sekunde (rps). Standardmäßig begrenzen diese Regeln den Datenverkehr oder fordern ihn heraus, aber Sie können sie außer Kraft setzen, um den Datenverkehr bei Bedarf zu blockieren. |
read-only |
Gezielte Regeln zur Abwehr von DDoS Angriffen mit einer hohen Zuverlässigkeitsrate. Diese Regeln sind read-only. Sie können deren Empfindlichkeitsstufe oder Aktion nicht außer Kraft setzen. |
test |
Regeln, die zum Testen der Erkennungs-, Eindämmungs- und Warnfunktionen von CIS DDoS Schutzprodukten verwendet werden. |