日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 DDoS防護 DDoS高防 實踐教程 DDoS高防接入配置最佳實踐

DDoS高防接入配置最佳實踐

更新時間:
產品詳情
我的收藏

業務接入DDoS高防產品后,可以將攻擊流量引流到DDoS高防,有效避免業務在遭受大流量DDoS攻擊時出現服務不可用的情況,確保源站服務器的穩定可靠。您可以參考本文中的接入配置和防護策略最佳實踐,在各類場景中使用DDoS高防更好地保護您的業務。

接入配置流程概述

接入場景

接入配置流程

正常情況下的業務接入

  1. 業務梳理

  2. 準備工作

  3. 接入和配置DDoS高防

業務遭受攻擊時的緊急接入

參照正常情況下的業務接入配置流程操作前,必須先閱讀了解緊急接入場景須知。

步驟1:業務梳理

首先,建議您對需要接入DDoS高防進行防護的業務情況進行全面梳理,幫助您了解當前業務狀況和具體數據,為后續使用DDoS高防的防護功能模塊提供指導依據。

梳理項

說明

操作建議

網站和業務信息

網站或應用業務每天的流量峰值情況,包括Mbps、QPS

判斷風險時間點。

作為DDoS高防實例的業務帶寬和業務QPS規格的選擇依據。

業務的主要用戶群體(例如,訪問用戶的主要來源地域)

判斷非法攻擊來源。

方便業務接入后配置DDoS高防的區域封禁策略。更多信息,請參見設置區域封禁(針對域名)。

業務是否為C/S架構

如果是C/S架構,進一步明確是否有App客戶端、Windows客戶端、Linux客戶端、代碼回調或其他環境的客戶端。

無。

源站是否部署在非中國內地地域

判斷所配置的實例是否符合最佳網絡架構。

源站部署在非中國內地地域時,建議選購DDoS高防(非中國內地)服務。更多信息,請參見什么是DDoS高防。

源站服務器的操作系統(Linux、Windows)和所使用的Web服務中間件(Apache、Nginx、IIS等)

判斷源站是否存在訪問控制策略,避免源站誤攔截DDoS高防回源IP轉發的流量。

如果有,需要在源站上設置放行DDoS高防的回源IP。更多信息,請參見放行DDoS高防回源IP。

業務是否需要支持IPv6協議

無。

如果您的業務需要支持IPv6協議,建議您使用DDoS原生防護。更多信息,請參見什么是DDoS原生防護。

業務使用的協議類型

無。

用于后續業務接入DDoS高防時配置網站信息,需要選擇對應的協議。

業務端口

無。

判斷源站業務端口是否在DDoS高防的支持端口范圍內。更多信息,請參見自定義服務器端口

請求頭部(HTTP Header)是否帶有自定義字段且服務端擁有相應的校驗機制

判斷DDoS高防是否會影響自定義字段導致服務端業務校驗失敗。

無。

業務是否有獲取并校驗真實源IP機制

接入DDoS高防后,真實源IP會發生變化。請確認是否要在源站上調整獲取真實源IP配置,避免影響業務。

如果需要,請參見配置DDoS高防后獲取真實的請求來源IP。

業務是否使用TLS 1.0或弱加密套件

判斷業務使用的加密套件是否支持。

完成業務接入后,根據需要設置TLS安全策略。具體操作,請參見自定義TLS安全策略。

(針對HTTPS業務)服務端是否使用雙向認證

無。

DDoS高防暫不支持雙向認證,需要變更認證方式。

(針對HTTPS業務)客戶端是否支持SNI標準

無。

對于支持HTTPS協議的域名,接入DDoS高防后,客戶端和服務端都需要支持SNI標準。

(針對HTTPS業務)是否存在會話保持機制

DDoS高防的HTTP和HTTPS默認連接超時時長為120秒。

如果您的業務有上傳、登錄等長會話需求,建議您使用基于七層的Cookie會話保持功能。

業務是否存在空連接

例如,服務器主動發送數據包防止會話中斷,這類情況下接入DDoS高防后可能會對正常業務造成影響。

無。

業務交互過程

了解業務交互過程、業務處理邏輯,便于后續配置針對性防護策略。

無。

活躍用戶數量

便于后續在處理緊急攻擊事件時,判斷事件嚴重程度,以采取風險較低的應急處理措施。

無。

業務及攻擊情況

業務類型及業務特征(例如,游戲、棋牌、網站、App等業務)

便于在后續攻防過程中分析攻擊特征。

無。

業務流量(入方向)

幫助后續判斷是否包含惡意流量。例如,日均訪問流量為100 Mbps,則超過100 Mpbs時可能遭受攻擊。

無。

業務流量(出方向)

幫助后續判斷是否遭受攻擊,并且作為是否需要額外業務帶寬擴展的參考依據。

無。

單用戶、單IP的入方向流量范圍和連接情況

幫助后續判斷是否可針對單個IP制定限速策略。

更多信息,請參見設置頻率控制

用戶群體屬性

例如,個人用戶、網吧用戶、通過代理訪問的用戶。

用于判斷是否存在單個出口IP集中并發訪問導致誤攔截的風險。

業務是否遭受過大流量攻擊及攻擊類型

根據歷史遭受的攻擊類型,設置針對性的DDoS防護策略。

無。

業務遭受過最大的攻擊流量峰值

根據攻擊流量峰值判斷DDoS高防功能規格的選擇。

更多信息,請參見購買DDoS高防實例。

業務是否遭受過CC攻擊(HTTP Flood)

通過分析歷史攻擊特征,配置預防性策略。

無。

業務遭受過最大的CC攻擊峰值QPS

通過分析歷史攻擊特征,配置預防性策略。

無。

業務是否提供Web API服務

無。

如果提供Web API服務,不建議使用頻率控制的攻擊緊急防護模式。通過分析API訪問特征配置自定義CC攻擊防護策略,避免API正常請求被攔截。

業務是否已完成壓力測試

評估源站服務器的請求處理性能,幫助后續判斷是否因遭受攻擊導致業務發生異常。

無。

步驟2:準備工作

重要

在將業務接入DDoS高防時,強烈建議您先使用測試業務環境進行測試,測試通過后再正式接入生產業務環境。

在將業務接入DDoS高防前,您需要完成下表描述的準備工作。

業務類型

準備工作

網站業務

  • 準備需要接入的網站域名清單,包含網站的源站服務器IP(僅支持公網IP的防護)、端口信息等。

  • 所接入的網站域名必須已完成ICP備案。更多信息,請參見ICP備案流程概述

  • 如果您的網站支持HTTPS協議訪問,您需要準備相應的證書和私鑰信息,一般包含格式為.crt的公鑰文件或格式為.pem的證書文件、格式為.key的私鑰文件。

  • 具有網站DNS域名解析管理員的賬號,用于修改DNS解析記錄,將網站流量切換至DDoS高防。

  • 推薦在將網站業務接入前,完成壓力測試。

  • 檢查網站業務是否已有信任的訪問客戶端(例如監控系統、通過內部固定IP或IP段調用的API接口、固定的程序客戶端請求等)。在將業務接入后,需要將這些信任的客戶端IP加入白名單。

非網站業務

  • 準備對外提供服務的端口、協議類型。

  • 如果業務通過域名訪問,需要準備DNS域名解析管理員賬號,用于修改DNS解析記錄將網站流量切換至DDoS高防。

  • 推薦在將業務接入前,完成壓力測試。

步驟3:接入和配置DDoS高防

  1. 業務接入配置。

    說明

    如果在接入DDoS高防前業務已遭受攻擊,建議您更換源站服務器IP。更換IP前,請務必確認是否在客戶端或App端中通過代碼直接指向源站IP,在這種情況下,請先更新客戶端或App端代碼后再更換源站IP,避免影響業務正常訪問。具體操作,請參見更換源站ECS公網IP

    根據您的業務場景和所選購的DDoS高防產品,參見以下接入配置指導,將您的業務接入DDoS高防:

  2. 配置源站保護。

    為避免惡意攻擊者繞過DDoS高防直接攻擊源站服務器,建議您完成源站保護配置。具體操作,請參見設置源站保護。

  3. 配置防護策略。

    • 網站域名類業務

      • CC攻擊防護

        • 業務正常時:將網站業務接入DDoS高防后,建議您在運行一段時間后(兩、三天左右),通過分析業務應用日志數據(包括URL、單一源IP平均訪問QPS等),評估正常情況下單訪問源IP的請求QPS情況并相應配置頻率控制自定義規則限速策略,避免遭受攻擊后的被動響應。

        • 正在遭受CC攻擊時:通過查看DDoS高防管理控制臺安全總覽報表(具體操作,請參見安全總覽),獲取域名請求TOP URL、IP地址、訪問來源IP、User-agent等參數信息,根據實際情況制定頻率控制自定義規則(具體操作,請參見自定義頻率控制防護規則),并觀察防護效果。

          重要

          由于頻率控制攻擊緊急模式可能會對特定類型的業務造成一定的誤攔截,不建議將攻擊緊急作為頻率控制的默認防護模式。如果您的業務類型為App業務或者Web API服務,建議您不要使用攻擊緊急模式。

          如果使用頻率控制正常模式仍發現誤攔截現象,建議您使用白名單功能放行特定IP。

      • (網站業務)AI智能防護

        由于AI智能防護策略中的嚴格模式存在對業務造成誤攔截的可能性,且網站域名類業務接入對常見四層攻擊已有天然的防護能力,請您不要使用網站業務AI智能防護中的嚴格模式,建議使用默認的正常模式。更多信息,請參見設置AI智能防護。

      • 開啟全量日志

        強烈建議您開啟全量日志分析服務(具體操作,請參見快速使用全量日志分析)。當業務遭受網絡七層攻擊時,可以通過全量日志功能分析攻擊行為特征,針對性制定防護策略。

        說明

        開通全量日志服務將可能產生額外費用,請您在開通服務前確認。

    • 非網站端口類業務

      一般情況下,將非網站業務接入DDoS高防后,采用默認防護配置即可。在運行一段時間后(兩、三天左右),您可以根據業務情況調整四層AI智能防護的模式(具體操作,請參見設置四層AI智能防護),可有效提升針對網絡四層CC攻擊的防護效果。

      說明

      如果您的業務是API類型或存在集中單個IP訪問(例如,辦公網出口、單個服務器IP、高頻率調用API接口業務等)的情況,請不要開啟非網站業務AI智能防護策略的嚴格模式。如果確實需要使用嚴格防護模式,請聯系阿里云技術支持人員確認情況后再啟用,避免因誤攔截造成業務無法訪問。

      如果您發現有攻擊流量透傳到源站服務器的情況,建議您啟用DDoS防護策略中的源、目的連接限速策略(具體操作,請參見設置端口DDoS防護策略)。在不完全清楚業務情況時,建議將源新建連接限速和并發連接限速均設置為5。如果發現存在誤攔截的現象,您可調整數值,適當放寬限速策略。源限速設置

      如果存在服務端主動發送數據包的業務場景,需要關閉空連接防護策略(具體操作,請參見設置端口DDoS防護策略),避免正常業務受到影響。空連接

  4. 本地測試。

    完成上述DDoS高防配置后,建議您進行配置準確性檢查和驗證測試。

    說明

    您可以通過修改本地系統hosts文件的方式進行本地測試。

    表 1. 配置準確性檢查項

    編號

    檢查項

    網站域名類業務接入檢查項(必檢)

    1

    接入配置域名是否填寫正確。

    2

    域名是否備案。

    3

    接入配置協議是否與實際協議一致。

    4

    接入配置端口是否與實際提供的服務端口一致。

    5

    源站填寫的IP是否是真實服務器IP,而不是錯誤地填寫了DDoS高防實例的IP或其他服務的IP。

    6

    證書信息是否正確上傳。

    7

    證書是否合法(例如,加密算法不合規、錯誤上傳其他域名的證書等)。

    8

    證書鏈是否完整。

    9

    是否已了解DDoS高防(中國內地)實例的彈性防護計費方式。

    10

    協議類型是否啟用Websocket、Websockets協議。

    11

    是否開啟頻率控制的攻擊緊急和嚴格模式。

    非網站端口類業務檢查項(必檢)

    1

    業務端口是否可以正常訪問。

    2

    接入配置協議是否與實際協議一致;確認未錯誤地為TCP協議業務配置UDP協議規則等。

    3

    源站填寫的IP是否是真實服務器IP,而不是錯誤地填寫了DDoS高防實例的IP或其他服務的IP。

    4

    是否已了解DDoS高防實例(中國內地)實例的彈性防護計費方式。

    5

    是否開啟四層AI智能防護的嚴格模式。

    表 2. 業務可用性驗證項

    編號

    檢查項

    1(必檢項)

    測試業務是否能夠正常訪問。

    2(必檢項)

    測試業務登錄會話保持功能是否正常。

    3(必檢項)

    (網站域名類業務)觀察業務返回4XX和5XX響應碼的次數,確保回源IP未被攔截。

    4(必檢項)

    (網站域名類業務)對于App業務,測試HTTPS鏈路訪問是否正常。檢查是否存在SNI問題。

    5(建議項)

    是否配置后端服務器獲取真實訪問源IP。

    6(建議項)

    (網站域名類業務)是否配置源站保護,防止攻擊者繞過DDoS高防直接攻擊源站。

    7(必檢項)

    測試TCP業務的端口是否可以正常訪問。

  5. 正式切換業務流量。

    必要檢查項均檢測通過后,建議采用灰度的方式逐個修改DNS解析記錄,將網站業務流量切換至DDoS高防,避免批量操作導致業務異常。如果切換流量過程中出現異常,請快速恢復DNS解析記錄。

    說明

    修改DNS解析記錄后,需要10分鐘左右生效。

    真實業務流量切換后,您需要再次根據上述業務可用性驗證項進行測試,確保業務正常運行。

  6. 配置監控告警。

    建議您使用云監控對已接入DDoS高防進行防護的域名、端口和業務源站端口進行監控(具體操作,請參見設置DDoS高防報警規則),實時監控其可用性、HTTP返回狀態碼(5XX、4XX類狀態碼)等,及時發現業務異?,F象。

  7. 日常運維。

    • 彈性后付費和保險版高級防護次數

      • 首次購買DDoS高防(中國內地)的用戶可以免費獲得三個300 Gbps規格的抗D包(更多信息,請參見抗D包),建議您盡快將其綁定至DDoS高防實例并將彈性防護閾值設置為300 Gbps。綁定成功后,當日內(自然日)所遭受的抗D包防護規格內(300 Gbps以內)的攻擊防護流量將不會產生彈性防護費用。

        說明

        如果您在抗D包耗盡后或到期后不想啟用DDoS高防的彈性防護能力,應及時將彈性防護閾值調整為實例的保底防護帶寬。

      • 如果需要啟用DDoS高防(中國內地)的彈性防護能力,請務必先查看DDoS高防(中國內地)的計費方式(更多信息,請參見DDoS高防(中國內地)計費說明),避免出現實際產生的彈性防護費用超出預算的情況。

      • DDoS高防(非中國內地)的保險版實例,每月免費贈送兩次高級防護。建議您根據業務需求情況選擇對應的套餐版本。

    • 判斷攻擊類型

      當DDoS高防同時遭受CC攻擊和DDoS攻擊時,您可以查看DDoS高防管理控制臺安全總覽報表(具體操作,請參見安全總覽),根據攻擊流量信息判斷遭受的攻擊類型:

      • DDoS攻擊類型:在實例防護報表中有攻擊流量的波動,且已觸發流量清洗,但在域名防護報表中不存在相關聯的波動。

      • CC攻擊類型: 在實例防護報表中有攻擊流量的波動,已觸發流量清洗,且在域名防護報表中有相關聯的波動。

      更多信息,請參見如何判斷DDoS高防實例受到的攻擊類型。

    • 業務訪問延時或丟包

      針對源站服務器在中國內地以外地域、主要訪問用戶來自中國內地地域的情況,如果用戶訪問網站時存在延時高、丟包等現象,可能存在跨網絡運營商導致的訪問鏈路不穩定,推薦您使用DDoS高防(非中國內地)實例并搭配加速線路。

    • 刪除域名或端口轉發配置

      如果需要刪除已防護的域名端口轉發配置記錄,確認業務是否已正式接入DDoS高防。

      • 如果尚未正式切換業務流量,直接在DDoS高防管理控制臺刪除域名或端口轉發配置記錄即可。

      • 如果已完成業務流量切換,刪除域名或端口轉發配置前務必前往域名DNS解析服務控制臺,修改域名解析記錄將業務流量切換回源站服務器。

      說明

      • 刪除轉發配置前,請務必確認域名的DNS解析或業務訪問已經切換至源站服務器。

      • 刪除域名配置后,DDoS高防將無法再為您的業務提供專業級安全防護。

緊急接入場景須知

如果您的業務已經遭受攻擊,建議您在將業務接入DDoS高防時注意以下內容:

  • 業務已遭受DDoS攻擊

    一般情況下,業務接入DDoS高防后,采用默認防護配置即可。

    如果您發現有網絡四層CC攻擊透傳到源站服務器的情況,建議您開啟DDoS防護策略中的源、目的連接限速策略(具體操作,請參見設置端口DDoS防護策略)。

  • 源站IP已被黑洞

    如果在接入DDoS高防前,業務源站服務器已被攻擊且觸發黑洞策略,應及時更換源站ECS IP(如果源站為SLB實例,則更換SLB實例公網IP)。具體操作,請參見更換源站ECS公網IP。更換源站IP后,請盡快將業務接入DDoS高防進行防護,避免源站IP暴露。

    如果您不希望更換源站IP,或者已經更換源站IP但仍存在IP暴露的情況,建議您在源站ECS服務器前部署負載均衡SLB實例,并將SLB實例的公網IP作為源站IP接入DDoS高防。

    說明

    如果您的業務源站服務器未部署在阿里云,遭受攻擊后需要緊急接入DDoS高防進行防護,請確認您業務使用的域名已通過工信部備案,并在將業務接入DDoS高防前聯系阿里云技術支持人員對域名進行特殊處理,避免由于域名未通過阿里云接入備案(更多信息,請參見接入備案流程,導致業務無法正常訪問。

  • 遭受CC攻擊或爬蟲攻擊

    業務遭受CC攻擊、爬蟲攻擊時,在將業務接入DDoS高防后,需要通過分析HTTP訪問日志,判斷攻擊特征并設置相應的防護策略(例如,分析訪問源IP、URL、Referer、User Agent、Params、Header等請求字段是否合法)。