阿里云国际DDoS高防接入配置最佳实践

业务接入DDoS高防产品后，可以将攻击流量引流到DDoS高防，有效避免业务在遭受大流量DDoS攻击时出现服务不可用的情况，确保源站服务器的稳定可靠。本文九河云的接入配置和防护策略最佳实践，在各类场景中使用DDoS高防更好地保护您的业务。

接入配置流程概述

|------------------|--------------------------------|
| 接入场景 | 接入配置流程 |
| 正常情况下的业务接入 | 1. 业务梳理 2. 准备工作 3. 接入和配置DDOS高防 |
| 业务遭受攻击时的紧急接入 | |

步骤1：业务梳理

首先，建议您对需要接入DDoS高防进行防护的业务情况进行全面梳理，帮助您了解当前业务状况和具体数据，为后续使用DDoS高防的防护功能模块提供指导依据。

|-----------------------------------------------------------|------------------------------------------------------------|-------------------------------------------------------------------------|
| 梳理项 | 说明 | 操作建议 |
| 网站和业务信息 |||
| 网站或应用业务每天的流量峰值情况，包括Mbps、QPS | 判断风险时间点。 | 作为DDoS高防实例的业务带宽和业务QPS规格的选择依据。 |
| 业务的主要用户群体（例如，访问用户的主要来源地域） | 判断非法攻击来源。 | 方便业务接入后配置DDoS高防的区域封禁策略。 |
| 业务是否为C/S架构 | 如果是C/S架构，进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。 | 无。 |
| 源站是否部署在非中国内地地域 | 判断所配置的实例是否符合最佳网络架构。 | 源站部署在非中国内地地域时，建议选购DDoS高防（非中国内地）服务。 |
| 源站服务器的操作系统（Linux、Windows）和所使用的Web服务中间件（Apache、Nginx、IIS等） | 判断源站是否存在访问控制策略，避免源站误拦截DDoS高防回源IP转发的流量。 | 如果有，需要在源站上设置放行DDoS高防的回源IP。 |
| 业务是否需要支持IPv6协议 | 无。 | 如果您的业务需要支持IPv6协议，建议您使用DDoS原生防护。 |
| 业务使用的协议类型 | 无。 | 用于后续业务接入DDoS高防时配置网站信息，需要选择对应的协议。 |
| 业务端口 | 无。 | 判断源站业务端口是否在DDoS高防的支持端口范围内。 |
| 请求头部（HTTP Header）是否带有自定义字段且服务端拥有相应的校验机制 | 判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。 | 无。 |
| 业务是否有获取并校验真实源IP机制 | 接入DDoS高防后，真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置，避免影响业务。 | |
| 业务是否使用TLS 1.0或弱加密套件 | 判断业务使用的加密套件是否支持。 | 完成业务接入后，根据需要设置TLS安全策略。 |
| （针对HTTPS业务）服务端是否使用双向认证 | 无。 | DDoS高防暂不支持双向认证，需要变更认证方式。 |
| （针对HTTPS业务）客户端是否支持SNI标准 | 无。 | 对于支持HTTPS协议的域名，接入DDoS高防后，客户端和服务端都需要支持SNI标准。 |
| （针对HTTPS业务）是否存在会话保持机制 | DDoS高防的HTTP和HTTPS默认连接超时时长为120秒。 | 如果您的业务有上传、登录等长会话需求，建议您使用基于七层的Cookie会话保持功能。 |
| 业务是否存在空连接 | 例如，服务器主动发送数据包防止会话中断，这类情况下接入DDoS高防后可能会对正常业务造成影响。 | 无。 |
| 业务交互过程 | 了解业务交互过程、业务处理逻辑，便于后续配置针对性防护策略。 | 无。 |
| 活跃用户数量 | 便于后续在处理紧急攻击事件时，判断事件严重程度，以采取风险较低的应急处理措施。 | 无。 |
| 业务及攻击情况 |||
| 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） | 便于在后续攻防过程中分析攻击特征。 | 无。 |
| 业务流量（入方向） | 帮助后续判断是否包含恶意流量。例如，日均访问流量为100 Mbps，则超过100 Mpbs时可能遭受攻击。 | 无。 |
| 业务流量（出方向） | 帮助后续判断是否遭受攻击，并且作为是否需要额外业务带宽扩展的参考依据。 | 无。 |
| 单用户、单IP的入方向流量范围和连接情况 | 帮助后续判断是否可针对单个IP制定限速策略。 | |
| 用户群体属性 | 例如，个人用户、网吧用户、通过代理访问的用户。 | 用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。 |
| 业务是否遭受过大流量攻击及攻击类型 | 根据历史遭受的攻击类型，设置针对性的DDoS防护策略。 | 无。 |
| 业务遭受过最大的攻击流量峰值 | 根据攻击流量峰值判断DDoS高防功能规格的选择。 | |
| 业务是否遭受过CC攻击（HTTP Flood） | 通过分析历史攻击特征，配置预防性策略。 | 无。 |
| 业务遭受过最大的CC攻击峰值QPS | 通过分析历史攻击特征，配置预防性策略。 | 无。 |
| 业务是否提供Web API服务 | 无。 | 如果提供Web API服务，不建议使用频率控制的攻击紧急防护模式。通过分析API访问特征配置自定义CC攻击防护策略，避免API正常请求被拦截。 |
| 业务是否已完成压力测试 | 评估源站服务器的请求处理性能，帮助后续判断是否因遭受攻击导致业务发生异常。 | 无。 |

步骤2：准备工作

重要

在将业务接入DDoS高防时，强烈建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。

在将业务接入DDoS高防前，您需要完成下表描述的准备工作。

|----------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 业务类型 | 准备工作 |
| 网站业务 | * 准备需要接入的网站域名清单，包含网站的源站服务器IP（仅支持公网IP的防护）、端口信息等。 * 所接入的网站域名必须已完成ICP备案。 * 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含格式为.crt的公钥文件或格式为.pem的证书文件、格式为.key的私钥文件。 * 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录，将网站流量切换至DDoS高防。 * 推荐在将网站业务接入前，完成压力测试。 * 检查网站业务是否已有信任的访问客户端（例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。 |
| 非网站业务 | * 准备对外提供服务的端口、协议类型。 * 如果业务通过域名访问，需要准备DNS域名解析管理员账号，用于修改DNS解析记录将网站流量切换至DDoS高防。 * 推荐在将业务接入前，完成压力测试。 |

步骤3：接入和配置DDoS高防

1. 业务接入配置。

   说明

   如果在接入DDoS高防前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认是否在客户端或App端中通过代码直接指向源站IP，在这种情况下，请先更新客户端或App端代码后再更换源站IP，避免影响业务正常访问。

2. 配置源站保护。

   为避免恶意攻击者绕过DDoS高防直接攻击源站服务器，建议您完成源站保护配置。

3. 配置防护策略。

   • 网站域名类业务

     • CC攻击防护

       • 业务正常时：将网站业务接入DDoS高防后，建议您在运行一段时间后（两、三天左右），通过分析业务应用日志数据（包括URL、单一源IP平均访问QPS等），评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略，避免遭受攻击后的被动响应。

       • 正在遭受CC攻击时：通过查看DDoS高防管理控制台的安全总览报表（，获取域名请求TOP URL、IP地址、访问来源IP、User-agent等参数信息，根据实际情况制定频率控制自定义规则，并观察防护效果。

         重要

         由于频率控制 的攻击紧急 模式可能会对特定类型的业务造成一定的误拦截，不建议将攻击紧急 作为频率控制 的默认防护模式。如果您的业务类型为App业务或者Web API服务，建议您不要使用攻击紧急模式。

         如果使用频率控制 的正常模式仍发现误拦截现象，建议您使用白名单功能放行特定IP。

     • （网站业务）AI智能防护

       由于AI智能防护策略中的严格 模式存在对业务造成误拦截的可能性，且网站域名类业务接入对常见四层攻击已有天然的防护能力，请您不要使用网站业务AI智能防护中的严格 模式，建议使用默认的正常模式。

     • 开启全量日志

       强烈建议您开启全量日志分析服务。当业务遭受网络七层攻击时，可以通过全量日志功能分析攻击行为特征，针对性制定防护策略。

       说明

       开通全量日志服务将可能产生额外费用，请您在开通服务前确认。

   • 非网站端口类业务

     一般情况下，将非网站业务接入DDoS高防后，采用默认防护配置即可。在运行一段时间后（两、三天左右），您可以根据业务情况调整四层AI智能防护的模式，可有效提升针对网络四层CC攻击的防护效果。

     说明

     如果您的业务是API类型或存在集中单个IP访问（例如，办公网出口、单个服务器IP、高频率调用API接口业务等）的情况，请不要开启非网站业务AI智能防护策略的严格 模式。如果确实需要使用严格防护模式，请联系阿里云技术支持人员确认情况后再启用，避免因误拦截造成业务无法访问。

     如果您发现有攻击流量透传到源站服务器的情况，建议您启用DDoS防护策略中的源、目的连接限速策略。在不完全清楚业务情况时，建议将源新建连接限速和并发连接限速均设置为5。如果发现存在误拦截的现象，您可调整数值，适当放宽限速策略。

     

     如果存在服务端主动发送数据包的业务场景，需要关闭空连接防护策略，避免正常业务受到影响。

     

4. 本地测试。

   完成上述DDoS高防配置后，建议您进行配置准确性检查和验证测试。

   说明

   您可以通过修改本地系统hosts文件的方式进行本地测试。

   |--------|-------------------------------------------------|
   | 编号 | 检查项 |
   | 网站域名类业务接入检查项（必检） ||
   | 1 | 接入配置域名是否填写正确。 |
   | 2 | 域名是否备案。 |
   | 3 | 接入配置协议是否与实际协议一致。 |
   | 4 | 接入配置端口是否与实际提供的服务端口一致。 |
   | 5 | 源站填写的IP是否是真实服务器IP，而不是错误地填写了DDoS高防实例的IP或其他服务的IP。 |
   | 6 | 证书信息是否正确上传。 |
   | 7 | 证书是否合法（例如，加密算法不合规、错误上传其他域名的证书等）。 |
   | 8 | 证书链是否完整。 |
   | 9 | 是否已了解DDoS高防（中国内地）实例的弹性防护计费方式。 |
   | 10 | 协议类型是否启用Websocket、Websockets协议。 |
   | 11 | 是否开启频率控制的攻击紧急和严格模式。 |
   | 非网站端口类业务检查项（必检） ||
   | 1 | 业务端口是否可以正常访问。 |
   | 2 | 接入配置协议是否与实际协议一致；确认未错误地为TCP协议业务配置UDP协议规则等。 |
   | 3 | 源站填写的IP是否是真实服务器IP，而不是错误地填写了DDoS高防实例的IP或其他服务的IP。 |
   | 4 | 是否已了解DDoS高防实例（中国内地）实例的弹性防护计费方式。 |
   | 5 | 是否开启四层AI智能防护的严格模式。 |
   [表 1. 配置准确性检查项]

   |--------|-----------------------------------------------|
   | 编号 | 检查项 |
   | 1（必检项） | 测试业务是否能够正常访问。 |
   | 2（必检项） | 测试业务登录会话保持功能是否正常。 |
   | 3（必检项） | （网站域名类业务）观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 |
   | 4（必检项） | （网站域名类业务）对于App业务，测试HTTPS链路访问是否正常。检查是否存在SNI问题。 |
   | 5（建议项） | 是否配置后端服务器获取真实访问源IP。 |
   | 6（建议项） | （网站域名类业务）是否配置源站保护，防止攻击者绕过DDoS高防直接攻击源站。 |
   | 7（必检项） | 测试TCP业务的端口是否可以正常访问。 |
   [表 2. 业务可用性验证项]

5. 正式切换业务流量。

   必要检查项均检测通过后，建议采用灰度的方式逐个修改DNS解析记录，将网站业务流量切换至DDoS高防，避免批量操作导致业务异常。如果切换流量过程中出现异常，请快速恢复DNS解析记录。

   说明

   修改DNS解析记录后，需要10分钟左右生效。

   真实业务流量切换后，您需要再次根据上述业务可用性验证项进行测试，确保业务正常运行。

6. 配置监控告警。

   建议您使用云监控对已接入DDoS高防进行防护的域名、端口和业务源站端口进行监控，实时监控其可用性、HTTP返回状态码（5XX、4XX类状态码）等，及时发现业务异常现象。

7. 日常运维。

   • 弹性后付费和保险版高级防护次数：

     • 首次购买DDoS高防（中国内地）的用户可以免费获得三个300 Gbps规格的抗D包，建议您尽快将其绑定至DDoS高防实例并将弹性防护阈值设置为300 Gbps。绑定成功后，当日内（自然日）所遭受的抗D包防护规格内（300 Gbps以内）的攻击防护流量将不会产生弹性防护费用。

       说明

       如果您在抗D包耗尽后或到期后不想启用DDoS高防的弹性防护能力，应及时将弹性防护阈值调整为实例的保底防护带宽。

     • 如果需要启用DDoS高防（中国内地）的弹性防护能力，请务必先查看DDoS高防，避免出现实际产生的弹性防护费用超出预算的情况。

     • DDoS高防（非中国内地）的保险版实例，每月免费赠送两次高级防护。建议您根据业务需求情况选择对应的套餐版本。

   • 判断攻击类型：

     当DDoS高防同时遭受CC攻击和DDoS攻击时，您可以查看DDoS高防管理控制台​的安全总览报表，根据攻击流量信息判断遭受的攻击类型：

     • DDoS攻击类型：在实例 防护报表中有攻击流量的波动，且已触发流量清洗，但在域名防护报表中不存在相关联的波动。

     • CC攻击类型： 在实例 防护报表中有攻击流量的波动，已触发流量清洗，且在域名防护报表中有相关联的波动。

   • 业务访问延时或丢包：

     针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况，如果用户访问网站时存在延时高、丢包等现象，可能存在跨网络运营商导致的访问链路不稳定，推荐您使用DDoS高防（非中国内地）实例并搭配加速线路。

   • 删除域名或端口转发配置：

     如果需要删除已防护的域名端口转发配置记录，直接在DDoS高防管理控制台​确认业务是否已正式接入DDoS高防。

     • 如果尚未正式切换业务流量，删除域名或端口转发配置记录即可。

     • 如果已完成业务流量切换，删除域名或端口转发配置前务必前往域名DNS解析服务控制台，修改域名解析记录将业务流量切换回源站服务器。

     说明

     • 删除转发配置前，请务必确认域名的DNS解析或业务访问已经切换至源站服务器。

     • 删除域名配置后，DDoS高防将无法再为您的业务提供专业级安全防护。

紧急接入场景须知

如果您的业务已经遭受攻击，建议您在将业务接入DDoS高防时注意以下内容：

• 业务已遭受DDoS攻击

  一般情况下，业务接入DDoS高防后，采用默认防护配置即可。

  如果您发现有网络四层CC攻击透传到源站服务器的情况，建议您开启DDoS防护策略中的源、目的连接限速策略。

• 源站IP已被黑洞

  如果在接入DDoS高防前，业务源站服务器已被攻击且触发黑洞策略，应及时更换源站ECS IP（如果源站为SLB实例，则更换SLB实例公网IP）。更换源站IP后，请尽快将业务接入DDoS高防进行防护，避免源站IP暴露。

  如果您不希望更换源站IP，或者已经更换源站IP但仍存在IP暴露的情况，建议您在源站ECS服务器前部署负载均衡SLB实例，并将SLB实例的公网IP作为源站IP接入DDoS高防。

  说明

  如果您的业务源站服务器未部署在阿里云，遭受攻击后需要紧急接入DDoS高防进行防护，请确认您业务使用的域名已通过工信部备案，并在将业务接入DDoS高防前联系阿里云技术支持人员对域名进行特殊处理，避免由于域名未通过阿里云接入备案，导致业务无法正常访问。

• 遭受CC攻击或爬虫攻击

  业务遭受CC攻击、爬虫攻击时，在将业务接入DDoS高防后，需要通过分析HTTP访问日志，判断攻击特征并设置相应的防护策略（例如，分析访问源IP、URL、Referer、User Agent、Params、Header等请求字段是否合法）。