最近，主機(jī)邦的一位客戶反饋網(wǎng)站被大量CC攻擊，而百度云防護(hù)毫無反應(yīng)。

為此主機(jī)幫特地去看下該用戶設(shè)置的Web防護(hù)規(guī)則，發(fā)現(xiàn)這個(gè)用戶設(shè)置了一個(gè)非常長(zhǎng)的檢測(cè)IP訪問頻率設(shè)置。

檢測(cè)時(shí)長(zhǎng)高達(dá)1個(gè)小時(shí)！

要知道幾乎沒有用戶連續(xù)訪問一個(gè)網(wǎng)站高達(dá)一個(gè)小時(shí)，而且這一個(gè)小時(shí)還設(shè)置了可以訪問120次，這不是相當(dāng)于對(duì)所有用戶不做訪問頻率限制嘛。

正常的頻率限制應(yīng)該設(shè)置極短的時(shí)間內(nèi)的檢測(cè)，比如2秒內(nèi)不超過3次請(qǐng)求

需要注意的是，如果你要給全站做單IP頻率限制的，一定要查清楚每個(gè)頁(yè)面大概加載多少內(nèi)部鏈接，否則可能因?yàn)樵O(shè)置太小，導(dǎo)致打開一個(gè)頁(yè)面，就超過了你設(shè)置了請(qǐng)求次數(shù)，從而被攔截。

如下圖：

如做了URI：/（全站）前綴匹配的，一定要設(shè)置訪問次數(shù)高些

而如果你是設(shè)置API訪問頻率或者某個(gè)網(wǎng)站目錄下的的鏈接，是可以設(shè)置最低，設(shè)置如下圖：

相當(dāng)于兩秒內(nèi)只能訪問一次API，超過次數(shù)就封禁1440，這符合正常用戶請(qǐng)求習(xí)慣。

訪問頻率限制功能的工作邏輯是你設(shè)置的URI單一IP訪問次數(shù)來計(jì)算的。

比如我設(shè)置前綴匹配/category/dashi，2秒鐘只能訪問2次，超過會(huì)封禁。

那么系統(tǒng)會(huì)計(jì)算我打開/category/dashi/網(wǎng)頁(yè)時(shí)，有沒有加載含前綴為/category/dashi/的鏈接，如果有，每多一個(gè)鏈接，就相當(dāng)于我多訪問一次，要是有加載超過3個(gè)這樣的鏈接，那么相當(dāng)于我打開鏈接1秒鐘就有超過2次以上的訪問次數(shù)了，直接原地被封。

而如果我打開/category/dashi/網(wǎng)頁(yè)時(shí)，網(wǎng)頁(yè)加載的鏈接只有/category/dashi/這一個(gè)請(qǐng)求，那么只算一個(gè)訪問次數(shù)，需要兩秒鐘內(nèi)刷新/category/dashi/超過兩次才會(huì)被封，一般用戶是不會(huì)2秒鐘請(qǐng)求超過3次的。