宝塔面板防CC攻击需分免费版、专业版、云WAF及Nginx原生模块四类配置:免费版依赖手动设阈值;专业版支持智能模式与多级限流;云WAF提供动态自适应防护;Nginx模块可底层限速。
如果您在使用宝塔面板过程中发现网站响应变慢、CPU持续飙升或频繁出现502错误,且访问日志中存在大量来自不同IP但行为高度一致的请求,则很可能是遭遇了CC攻击。以下是针对宝塔面板免费版与专业版分别配置防CC攻击策略的具体操作路径与差异说明:
一、免费版Nginx防火墙中的CC防护配置
宝塔免费版内置的Nginx防火墙提供基础级CC防御能力,其核心依赖于全局触发阈值与单站点独立设置,防护逻辑为统计单位时间内同一IP对特定URI的请求频次,超限即临时封锁。该方案不支持动态学习与多模式适配,需人工反复调试参数以平衡误拦率与防护强度。
1、登录宝塔面板后,进入【软件商店】,确认已安装并启用【Nginx防火墙(免费版)】。
2、点击已启用的防火墙插件右侧【设置】按钮,跳转至防火墙首页。
3、在左侧菜单栏选择【网站配置】,找到目标站点,点击右侧【配置】图标。
4、在弹出窗口中切换至【CC防御】选项卡,勾选【开启CC防御】。
5、设置【触发周期】(如60秒)和【触发频率】(如20次),表示同一IP在60秒内对该站点任意URI发起超过20次请求即触发拦截。
6、保存配置后,返回防火墙首页,点击【黑名单】页签,可手动将高频恶意IP加入永久黑名单。
二、专业版Nginx防火墙中的CC防护配置
宝塔专业版Nginx防火墙提供四档可选CC防御模式(普通、严格、智能、自定义),支持按站点粒度启用不同策略,并集成恶意容忍度、UA白名单/黑名单、蜘蛛池识别等协同机制,显著降低误封率。其CC规则由宝塔官方持续更新,适配新型绕过手法,且支持POST请求体级频控与Cookie会话级限流。
1、确保已购买并激活宝塔Linux面板专业版,且【Nginx防火墙】插件状态为“已安装”。
2、进入【网站】→【防火墙】→【全局配置】,在【CC防御】模块下选择预设模式:例如选择智能模式,系统将根据当前流量基线自动调节阈值。
3、切换至【网站配置】,对指定站点点击【配置】,在【CC防御】页签中可覆盖全局设置,单独启用POST请求CC防护或Cookie会话级限流。
4、在【全局配置】→【恶意容忍度】中设置连续恶意请求封禁阈值,例如设定3次恶意请求即封禁24小时。
5、前往【全局配置】→【蜘蛛池】,启用云端蜘蛛识别功能,避免搜索引擎爬虫被误判为CC攻击源。
三、通过宝塔云WAF实现独立CC防护
堡塔云WAF为真开源免费可商用方案,采用私有化部署架构,完全脱离宝塔面板运行环境,不占用Nginx进程资源,所有CC防御逻辑在独立服务中执行,适用于任何Web服务器类型。其动态CC防御机制基于实时访问量自适应调整拦截阈值,无需人工干预即可应对突发流量波动。
1、访问堡塔云WAF官网下载最新版安装包,上传至服务器任意目录。
2、执行安装命令:bash install.sh,按提示完成服务初始化。
3、浏览器访问http://服务器IP:8888,使用默认账号密码登录WAF管理后台。
4、在【网站管理】中点击【添加网站】,填入目标站点域名与反向代理端口(如8080),系统自动完成Nginx配置注入。
5、进入该站点详情页,打开【CC防御】开关,选择动态CC一键开启,无需填写任何数值参数。
6、观察【首页概览】中的【今日请求数】与【恶意请求数】实时曲线,确认拦截生效。
四、结合Nginx原生限流模块强化防护
无论使用免费版或专业版,均可在Nginx配置层叠加ngx_http_limit_req_module模块,实现更底层的连接速率控制。该方式绕过防火墙插件逻辑,直接作用于HTTP请求队列,适用于高并发静态资源场景,且不依赖宝塔界面操作。
1、进入【网站】→【设置】→【配置文件】,在server块内插入限流区域声明:limit_req_zone $binary_remote_addr zone=cc_limit:10m rate=10r/s;
2、在location / {} 块中添加调用指令:limit_req zone=cc_limit burst=20 nodelay;
3、重启Nginx服务使配置生效,此时每个IP每秒最多处理10个请求,突发请求允许缓存20个,超出则立即返回503。
4、若需对登录接口单独限流,可新建zone并绑定特定location,例如匹配/wp-login.php路径。
