摘要：# 别让“机器人”拖垮你的网站：聊聊WAF里那个被低估的防CC神器 我前两天帮一个做电商的朋友看后台，好家伙，访问日志里密密麻麻全是来自同一个IP段的请求，一秒几十次，全在刷商品详情页。服务器CPU直接飙红，正常用户根本打不开。朋友急眼了：“我买了高防I…

别让“机器人”拖垮你的网站：聊聊WAF里那个被低估的防CC神器

我前两天帮一个做电商的朋友看后台，好家伙，访问日志里密密麻麻全是来自同一个IP段的请求，一秒几十次，全在刷商品详情页。服务器CPU直接飙红，正常用户根本打不开。朋友急眼了：“我买了高防IP啊，怎么还能被打穿？”

我一看就乐了：“你那高防IP防的是洪水攻击（DDoS），现在这是‘慢性病’，是CC攻击。人家没跟你拼带宽，是派了一堆‘机器人’来跟你耗资源，你这属于吃错药了。”

说白了，很多站长一听到“攻击”就想着上高防、加带宽，结果钱没少花，问题没解决。其实对于这种针对Web应用的CC攻击，Web应用防火墙（WAF）里自带的“机器人管理”功能，往往才是对症的解药。 今天咱们就抛开那些复杂的术语，把这个功能怎么用、怎么配，一次性聊明白。

机器人管理：它到底管的是啥？

你可以把它理解成你们公司大楼的前台接待。

一个正常的用户（真人）来访，会先到前台（WAF）说明来意：“我想看看A商品。”前台会给他发个访客牌（会话标识），引导他去对应的楼层（服务器处理请求）。整个过程是连续、有逻辑的。

但机器人（攻击程序）呢？它们的行为是机械的、重复的、不讲武德的。可能一瞬间涌进来1000个“人”，都喊着“看A商品”，拿到访客牌后也不走，就堵在大厅不停地重复喊。真正的客人被堵在外面，前台和保安（服务器资源）也全被这些机器人耗尽了。

机器人管理功能的核心，就是在请求到达你源站服务器之前，由WAF这个“智能前台”先做一遍筛选和分流。 它的目标不是全部拦死（那样会误伤），而是精准地把那些行为异常的“访客”识别出来，然后要么请出去，要么送进“慢速通道”。

实战配置：三步把机器人拿捏住

很多WAF后台把这个功能做得花里胡哨，一堆选项让人头大。其实抓住下面几个核心点，就能解决80%的问题。我以几个主流云厂商的WAF后台为例，给你讲讲配置思路（放心，不说具体品牌，只讲逻辑）。

第一步：画像——先知道“好人”长啥样

这是最关键的一步，也是很多人偷懒的地方。千万别一上来就开“严格模式”。

1. 开启“学习模式”：大部分WAF都有这个选项。开启后，它会用一段时间（比如一周）观察你网站的正常流量。这段时间里，它不会拦截任何请求，只是默默记录：正常的用户多久点一次页面？鼠标移动轨迹是怎样的？登录、下单的流程一般多长？
2. 建立合法机器人白名单：像Google、Bing的搜索引擎爬虫，像你用的监控工具、API合作方，这些是“好的机器人”。一定要把它们（通过User-Agent或IP段）加进白名单。不然你网站第二天可能就从搜索引擎里消失了，那才叫因噎废食。

（这里插句大实话：很多企业买完WAF就丢给运维不管了，策略万年不变。结果就是要么防不住，要么把自家业务给防死了。配置，是个动态的活儿。）

第二步：设卡——给“可疑分子”出难题

学习期过后，就可以上策略了。机器人管理一般提供几种“考题”：

• 人机挑战（最常见）：比如JavaScript挑战。WAF会先给来访者一段简单的JS代码执行，真正的浏览器能瞬间完成，而很多低级的攻击脚本（特别是那些模拟HTTP库的）根本不会执行JS，直接就被筛掉了。这招对市面上大部分“扫库”、“撞库”的初级脚本特别好使。
• 速率限制（最直接）：针对单个IP或会话，在特定时间窗口（比如1秒）内，对关键页面（如登录页、提交订单页、验证码页）的请求次数设置上限。超过就弹出验证码或者直接延迟响应。这专治那些“单IP高频刷”的CC攻击。
• 行为分析（最智能）：基于第一步的学习，WAF会判断访问行为。比如，一个“用户”在1分钟内，以完全相同的间隔时间，遍历了网站所有商品的ID参数，这种机械行为极大概率是恶意爬虫或扫描器。

配置心法：别一刀切。 对/api/这样的接口目录可以严格点，对首页、文章页可以宽松点。核心是保护登录、注册、秒杀、搜索这些耗资源的动态页面。

第三步：处置——是赶走还是慢速处理？

识别出来了，然后呢？你有几个选择：

1. 观察（Log Only）：先只记录不动作，看看效果和误杀情况。这是上线新策略时的安全做法。
2. 验证码（Captcha）：弹出算数题、滑块拼图。真人能过，机器人（尤其是没接入图像识别库的）就卡住了。用户体验会受影响，但比完全打不开强。
3. 拦截（Block）：直接返回403、404。简单粗暴，适用于已经明确的恶意IP。
4. 延迟响应（Tarpitting）：这个有点“损”，但很有效。对疑似机器人的请求，服务器故意回复得很慢很慢，比如每个请求都延迟10秒再响应。攻击者的资源会被长时间占用，攻击成本急剧上升，他可能自己就放弃了。

几个容易踩的坑和清醒认知

1. “开了机器人防护，网站就绝对安全了？” —— 想多了。这就像你家装了防盗门，能防普通毛贼，但防不了定向爆破。高级的、定制化的攻击（比如用海量代理IP、模拟真人鼠标轨迹的“高级机器人”）可能需要更复杂的策略组合，甚至需要结合业务风控。它是一项强大的基础防御，但不是银弹。
2. “会不会误杀？” —— 一定会。尤其是你策略设得太严的时候。这就是为什么“学习模式”和“观察模式”那么重要。曾经有客户把速率限制设成每秒1次，结果把用公司局域网出口IP的所有员工都拦了……（你懂的，那种几十人共用一个公网IP的场景）。
3. “流量都被WAF清洗了，源站是不是就高枕无忧了？” —— 逻辑没错，但你要确保一点：你的源站服务器IP一定要隐藏好，只允许WAF的回源IP访问。 不然攻击者一旦绕过WAF直接找到你源站IP，那就是“裸奔”了。这步没做，前面全白搭。

最后说点实在的

防御CC攻击，特别是那种针对API接口、登录页的“慢速攻击”，核心思路已经从“拼资源”转向了“拼智能”。机器人管理功能，本质上就是把一部分“判断谁是坏人”的计算压力，从你宝贵的源站服务器，转移到了WAF的边缘节点上。

所以，如果你的网站或应用最近开始感觉“变卡”，但带宽和CPU看起来又没爆，先去WAF后台看看访问日志吧。那些整齐划一、像阅兵方阵一样的请求记录，多半就是机器人在作祟。

赶紧把那个可能一直在吃灰的“机器人管理”功能配置起来。很多时候，问题不是没工具，而是好工具你没用对地方。

行了，话就说到这儿，赶紧去后台看看吧。你的网站，可能正在被一群“机器人”默默围观呢。