本文介紹您將業務接入DDoS高防后,如何在控制臺查看實例和域名的業務數據以及遭受的DDoS攻擊詳情,幫助您快速了解資產的DDoS防護情況,以便您可以及時調整DDoS防護策略。
概述
DDoS高防最多允許您查看30天內的數據,您可以在安全總覽頁面右上角單擊流量關系說明,查看并熟悉DDoS高防IP流量的相關概念。
前提條件
已購買DDoS高防(中國內地)實例或DDoS高防(非中國內地)實例。具體操作,請參見購買DDoS高防實例。
查看實例的防護總覽
DDoS高防支持按實例維度展示業務的相關信息及遭受的DDoS攻擊詳情。
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄單擊安全總覽,在安全總覽頁面的實例頁簽,您可以查看如下信息。
功能名稱
說明
帶寬(圖示①)
DDoS高防(中國內地):提供帶寬趨勢圖,以bps或者pps展示指定時間段內實例上的入流量、出流量、攻擊流量、限速流量趨勢。
DDoS高防(非中國內地):提供三個頁簽,分別是總覽(與帶寬趨勢圖相同)、入方向分布(入方向流量的分布信息)、出方向分布(出方向流量的分布信息)。
連接數(圖示②)
并發連接數:客戶端同一時間與DDoS高防建立的TCP連接數量。
活躍連接數:當前所有狀態為Established的TCP連接數量。
非活躍連接數:當前除了Established狀態以外,所有其他狀態的TCP連接數量。
新建連接數:客戶端每秒內新增的與DDoS高防通信的TCP連接數。
網絡層攻擊事件、規格超限告警、目的限速事件(圖示③)
網絡層攻擊事件:
將光標放置在被攻擊的IP或端口上,可以查看被攻擊的IP和端口信息、攻擊的類型和峰值、防護結果。
規格超限告警:
事件類型包含業務帶寬、新建連接數和并發連接數。當事件類型對應規格超過購買的規格時會進行提示,對當前業務無影響,建議擴容升級。具體操作,請參見升級實例。
您可以單擊狀態列的詳情跳轉到系統日志頁面,查看詳細信息。
說明超限告警數據的更新時間為每周一的10:00(GMT+8),更新后的數據為前一天的規格超限告警數據。如果您配置了站內信、短信或郵件通知,您也將會在每周一的10:00(GMT+8)收到對應通知,且數據為前一天的規格超限告警數據。
目的限速事件
當業務的新建連接數、并發連接數或業務帶寬等遠超實例規格時,會觸發對應的限速策略,對業務產生影響,產生目的限速事件。
您可以單擊狀態列的詳情跳轉到系統日志頁面,查看詳細信息。
正常業務地區分布、正常業務運營商分布(圖示④)
正常業務地區分布:正常業務流量的來源地區分布。
正常業務運營商分布:正常業務流量的運營商分布。
查看域名的防護總覽
DDoS高防支持按域名維度展示業務的相關信息及遭受的DDoS攻擊事件詳情。
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄單擊安全總覽,在安全總覽頁面的域名頁簽,您可以查看如下信息。
查看實例總QPS
在全部域名選擇框,單擊實例總QPS后勾選獨享IP,然后單擊確定。
功能名稱
說明
請求速率(QPS)(圖示①)
按照DDoS高防實例維度展示請求速率趨勢圖,不同的查詢時間間隔對應的展示粒度不同。
響應碼和請求數(圖示②)
按照DDoS高防實例維度展示DDoS高防的響應碼。響應碼記錄的數量對應展示粒度時間內的累加值。不同響應碼的含義如下:
2XX:表示請求已成功被服務器接收、理解并接受。
說明2XX響應碼的統計數據包含了200響應碼的統計數據。
3XX:表示需要客戶端采取進一步的操作才能完成請求。通常這些狀態碼用來重定向。
4XX:表示客戶端可能發生了錯誤,妨礙服務器的處理。
5XX:表示服務器在處理請求的過程中發生了錯誤或者出現異常狀態。
查看精細域名QPS
在全部域名選擇框,單擊精細域名QPS后勾選域名,然后單擊確定。
功能名稱
說明
請求速率(QPS)(圖示①)
按照域名維度展示請求速率趨勢圖,不同的查詢時間間隔對應的展示粒度不同。
帶寬(圖示②)
展示域名出方向和入方向的帶寬峰值趨勢圖。
說明僅統計payload字段,和實例級別bps趨勢圖有偏差。
響應碼和請求數(圖示③)
分為DDoS高防的響應碼以及源站響應碼。響應碼記錄的數量對應展示粒度時間內的累加值。不同響應碼的含義如下:
2XX:表示請求已成功被服務器接收、理解并接受。
說明2XX包含200~299的所有狀態碼。
200:表示請求成功。
3XX:表示需要客戶端采取進一步的操作才能完成請求。通常這些狀態碼用來重定向。
4XX:表示客戶端可能發生了錯誤,妨礙服務器的處理。
說明4XX包含400~499的所有狀態碼。
403:服務器理解了客戶端的請求,但拒絕執行。
404:服務器無法找到客戶端所請求的資源。
405:服務器理解了客戶端請求的資源路徑,但對于請求中所使用的HTTP方法(如GET、POST、PUT、DELETE等),該資源不允許使用此方法進行訪問。
410:服務器上的該資源已被刪除。
499:客戶端在服務器還沒有完成對請求的處理之前取消了請求。
5XX:表示服務器在處理請求的過程中發生了錯誤或者出現異常狀態。
說明5XX包含500~599的所有狀態碼。
502:表示DDoS高防作為代理服務器嘗試執行請求,但是從上游服務器收到了無效的響應。
503:表示服務器當前無法處理請求,可能因為臨時的服務器維護或者過載。
504:表示DDoS高防作為代理服務器嘗試執行請求,但是未能及時從上游服務器收到響應。
URI請求次數、URI響應時間等(圖示④)
展示對應指標的Top5數據,您可以單擊更多查看更多數據。包含URI請求次數、URI響應時間、User-Agent、Referer、HTTP-Method、客戶端指紋、HTTP2.0指紋、JA3指紋、JA4指紋。各指標的詳細介紹,請參見附錄一:支持設置的HTTP請求字段。
說明URI響應時間的取值邏輯為最大值。
應用層清洗事件(圖示⑤)
應用層發生的清洗事件。將光標放置在域名上,可以展示被攻擊的域名信息、攻擊的峰值和攻擊類型。
來源地區(圖示⑥)
訪問來源地區的分布詳情。
緩存命中率(圖示⑦)
適用于已經開啟靜態頁面緩存功能的場景。更多信息,請參見DDoS防護實驗室。
設置告警閾值
針對大流量攻擊事件,為避免事件太多對您的業務造成干擾,所以DDoS高防默認策略為入流量大于1Gbps,且產生100Mbps的丟棄流量時才會生成流量攻擊事件。入流量小于默認策略,則不產生事件。但考慮到您可能業務流量較小,所以提供自定義配置告警閾值。通過配置告警閾值可以解決您在控制臺上看到有清洗流量但沒有攻擊事件的問題。
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄單擊安全總覽,在安全總覽頁面的設置告警閾值區域,您可以自定義配置攻擊告警閾值。
如上圖所示,您可根據業務需求自定義配置入流量帶寬: 針對高防單IP接收入流量帶寬總和。
入流量包含攻擊流量和業務流量。
當入流量大于或等于自行設置的閾值,且清洗流量大于100Mbps時,產生告警事件。
針對高防實例所有IPV4地址生效,IPV6地址暫不支持自定義調整。