Utilizzo della modalità Difesa per gli attacchi di DDoS

Quando il vostro sito subisce un attacco da parte di DDoS, potete attivare la modalità di difesa per mitigare rapidamente l'attacco. La modalità di difesa utilizza controlli di sicurezza aggiuntivi per contribuire a mitigare gli attacchi di Layer 7 DDoS, consentendo il passaggio degli utenti convalidati e bloccando il traffico sospetto. La seguente guida spiega come applicare la modalità di difesa a livello di dominio o di pagina e cosa aspettarsi quando viene attivata.

Per impostare l'intero dominio in modalità di difesa quando si è sotto attacco, attivare "Modalità di difesa" dalla pagina Panoramica di CIS. Quando è abilitato:

  • Non limitate o strozzate le richieste di IBM CIS, perché CIS ha bisogno della larghezza di banda per assistere l'utente.
  • Se necessario, è possibile bloccare paesi e visitatori specifici.
  • I visitatori visualizzano una pagina interstiziale e l'accesso al vostro sito può essere temporaneamente interrotto, con conseguente impatto sulle analisi.

La modalità di difesa è disattivata per impostazione predefinita ed è intesa come ultima risorsa quando una zona è sotto attacco.

Applicazione selettiva della modalità di difesa

Invece di attivare la modalità di difesa per l'intero dominio, è possibile applicarla a pagine o sezioni specifiche del sito regolando il livello di sicurezza con una regola di configurazione.

Ad esempio, si consideri il seguente scenario di corrispondenza delle richieste in entrata:

  • Campo: URI Path
  • Operatore: starts with
  • Valore: /admin

  1. Se si utilizza l'Editor di espressioni, inserire la seguente espressione.

    (starts_with(http.request.uri.path, "/admin"))

  2. Per la modalità di difesa, selezionare Aggiungi.

  3. Spostare l'interruttore su 0n.

Per indirizzare specifici ASN (host/ISP che possiedono indirizzi IP), paesi o intervalli IP, utilizzare le Regole di accesso IP.

Problemi potenziali

La modalità di difesa richiede che il browser supporti JavaScript per visualizzare e superare la pagina interstiziale. Questo requisito può influire sugli strumenti di analisi di terze parti, che potrebbero non registrare accuratamente il traffico quando è attiva la modalità di difesa.