LeCDN自建CDN系统非常实用的防御策略与功能

Lecdn 是「触摸云」团队自研CDN系统，旨在为建站用户提供有效的防御工具。
1、基于openresty核心平台，重建适合站点使用的防御组件，以达到高效的防御效果。
2、完整的可视化管理系统，以帮助管理员后台进行管理站点，并提供用户端能力。
详情可到cmzi触摸云官网查看

防御能力

LeCDN自建CDN系统有着非常有效针对各种恶意功能的能力
如ack/syn功能、CC攻击、跨端口攻击、tls攻击等

功能访问流量都是从三层到七层，拦截效率越前置效率越高

此处针对整站所有的站
作用：使用系统防火墙的能力，将一些异常/高频的IP进行拉黑，减少七层（NGINX/LUA）层的压力。
入口：后台-防御安全-Firewall

模块	作用	推荐值
防御 HTTP+443 攻击	将夸协议的请求直接拦截	推荐打开
防御 HTTPS+80 攻击
TCP 新建连接速率限制	能有效对SYN、TLS、CC攻击有削峰压制作用，如无误拦截可长期开启	推荐打开一般设置阈值在600，如有较大攻击可调整更小
单 IP 有效连接并发数限制	能对CC攻击有一定的削峰压制作用，一般情况无需开启	一般设置阈值在600，如有较大攻击可调整更小
TCP 异形包过滤	启用后将过滤对应类型的 TCP 异常探测和扫描包	可开可不开
TLS握手限制	限制 TLS 握手的频次，抑制TLS攻击	可打开，可设置400，根据攻击情况调整
TLS RST 防护	限制 TLS 异常的断开 RST 异常流量	建议关闭，可设置600，根据攻击情况调整

设置完毕后观察用户是否有误拦截或者打不开的反馈，如果再适当调整更大的数值

此处针对整站所有的站
作用：用于配置全局的拉黑规则，譬如默认页、证书验证页面、验证页面多少次失败拉黑等的场景
当然还有最重要的一个，验证多少次失败后，联动iptables进行拉黑，从系统层进行流量阻断。

表示人机验证页面持续访问/验证不通过多少次后拉黑，默认值可在20，遇到攻击可设置更小，
并打开联动ipset，使用系统firewall进行拉黑
调整完成后应用到节点

JA4/JA4H 用于同一个访问特征的终端进行识别，一般选择去重IP数，表示多少时间内有多少个相同特征的IP访问就拉黑相关所有IP
如设置 30秒、300次，表示在30秒内有300个相同特征的IP访问了，则将这300个IP都拉黑

状态码拉黑表示将同一个IP在设置的时间内访问同一个域名返回状态码多少次，就拉黑该IP
一般用于下面的场景：
如设置了URL鉴权，URL鉴权不会拉黑，如果一个用户持续攻击，就设置401状态将该IP拉黑
还有譬如403/404 一般表示渗透扫描

黑名名单共享表示对节点临时拉黑或者验证通过的白名单同步到别的节点去
黑名单：可以加速黑名单生效，减少其它节点再判断拉黑的性能消耗
白名单：可以让用户不需要重复验证，提升用户体验

可以通过全局规则设置一些保底的规则，避免站点规则没设置好或者用户关闭了，无法有效的防御
全局规则可以配置一些相对宽松一些的规则
也可以针对当前被攻击的域名设置相应防御规则
如果知道攻击的具体站点或者特征可以设置更加精准的防御规则，下面是相对通用的规则
更多使用说明：全局WAF功能介绍与使用案例

上面规则表示30秒内访问大于300次的IP进行拉黑并添加到系统防火墙 ↑↑↑

上面规则表示30秒内访问大于300次的相同指纹的IP进行拉黑并添加到系统防火墙 ↑↑↑

在访问统计中，选最近半小时的时间，看哪个站点访问次数/流量数据多的比较可怕的，一般是该站点被攻击了
注意：如果是针对四层的攻击不会在这里统计到

如果知道一些精准特征或者有比较明确的场景
如针对post，或者海外IP，后者某些特定IP
可以设置在多少时间内单个IP访问多少次就直接拉黑并加iptable【全局WAF可设置】

如果遇到post攻击（模拟上传提交很多大数据包到节点或者站点）
此类攻击会导致节点服务器的宽带被占满并且会导致NGINX很容易崩溃，因此只有一个思路进行防御，就是针对POST的功能进行频率限制，并将超频的IP进行拉黑。

使用全局WAF【100节点可用】，这是对应的匹配项为请求方案，正则匹配【POST|POST】
针对IP进行限速，30秒内超过多少次进行拉黑，最好超过5次，10次以上为佳。
拦截方式为拉黑并添加iptables，拉黑时长根据自己业务特性
注意：该规则优先级要设置为最高【1为最高，排在最前面】

http+443端口攻击的话，就开启这个开关，里面填写HTTPS端口