antsXDP官方文档精准规则说明
同一条规则中多个匹配条件为 “与” 逻辑,即必须多个条件同时满足才算匹配中规则;
匹配目标具有多个时,用 “|” 隔开;
同一条规则最多 6个 匹配条件组合;
涉及字符串匹配时,字符串不区分大小写。
匹配类型
| 匹配类型 | 说明 |
|---|---|
| IP | 请求来源 IP 地址。 |
| 域名 | 请求主机头 HOST 域名字段。 |
| URL | 请求 URL 地址,不包含域名。 |
| 后缀 | 请求文件名后缀。 |
| 请求参数 | 请求 URL 的参数。 |
| User-Agent | 请求客户端的 User-Agent 标识。 |
| 国家区域 | 请求来源的国家。 |
| Referer | 请求入口的来源 Referer 字段。 |
| 请求类型 | HTTP 的请求类型,主要类型 GET,POST。 |
| 请求长度 | HTTP 请求体的长度。 |
| 随机 COOKIES 验证成功数 | 验证客户端是否为浏览器,WAF 自动下发的随机 COOKIS。 |
| 人机验证失败数 | 开启人机验证,如:点击,滑动,数字,字母等人机验证总失败次数,可指定失败多少次拉黑处理。 |
| IP 首次请求距今时间 | IP 首次请求站点时间到目前时长,单位为秒。可多作为符合条件,对低频攻击做参考。 |
| IP 总请求 | IP 首次入站请求总次数,每请求一次+1。复合规则参考条件。 |
| IP 近一分钟总请求 | IP 近一分钟访问该站点的统计。可作为复合条件规则参数。 |
| IP 近一分钟请求热 U | IP 近一分钟请求最热门的同一个 URL 的总次数,通过日志查看,值大于 20 以上的可作为拦截目标。 |
| IP 近一分钟回源热 U | IP 近一分钟回源最热门的同一个 URL 的总次数,针对接口攻击的拦截清洗,一般值会大于 5,低频可能在 3 以下。 |
| IP 近一分钟 404 数量 | IP 近一分钟请求返回 404 总次数,针对请求随机 URL 404 穿透性回源攻击。 |
| IP 近一分钟 400 数量 | IP 近一分钟请求返回 400 总次数,针对 400 攻击。 |
| IP 缓存命中数量 | IP 请求缓存命中总数量,提供人机识别参考。 |
| 站点近一分钟请求总数 | 站点一分钟的总请求统计,符合规则可作为条件。 |
| 返回字节数 | 请求服务器返回数据长度。 |
| 文件类型数 | IP 请求的文件类型数量统计,如:只有 JS,CS 值为 2。 |
| 请求类型数 | 统计请求方法的数量,如:只有 GET,POST,数值为 2。 |
| URL 类型数 | 请求的 URL 的不同文件,如果只请求 login.php 这一个 URL 文件 值为 1。 |
| URL 频率数 | 接口设置,设置周期,设计监测的 URL, 命中数量为频率值。 |
| Cookis 键名 | 网站后台下发的 Cookis 键名,提供验证参数。 |
| 来源地址验证 | 指定的来源入口验证。 |
逻辑|匹配目标
| 逻辑 | 匹配目标 |
|---|---|
| 等于 | 绝对完整匹配 |
| 不等于 | 取反 |
| 包含 | 包含字符匹配 |
| 不包含 | 取反 |
| 不存在 | 为空 |
处置方式
| 处置方式 | 操作 |
|---|---|
| 拦截 | 阻断、返回错误码、跳转、拉黑、记录日志后放行 |
| 可疑 | 人机验证、重试、API 鉴权、记录日志后放行 |
| 忽略 | 执行下一个规则 |
| 放行 | 直接放行 |