业务接入DDoS高防产品后,可以将攻击流量引流到DDoS高防,有效避免业务在遭受大流量DDoS攻击时出现服务不可用的情况,确保源站服务器的稳定可靠。本文九河云的接入配置和防护策略最佳实践,在各类场景中使用DDoS高防更好地保护您的业务。
接入配置流程概述
|------------------|--------------------------------|
| 接入场景 | 接入配置流程 |
| 正常情况下的业务接入 | 1. 业务梳理 2. 准备工作 3. 接入和配置DDOS高防 |
| 业务遭受攻击时的紧急接入 | |
步骤1:业务梳理
首先,建议您对需要接入DDoS高防进行防护的业务情况进行全面梳理,帮助您了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能模块提供指导依据。
|-----------------------------------------------------------|------------------------------------------------------------|-------------------------------------------------------------------------|
| 梳理项 | 说明 | 操作建议 |
| 网站和业务信息 |||
| 网站或应用业务每天的流量峰值情况,包括Mbps、QPS | 判断风险时间点。 | 作为DDoS高防实例的业务带宽和业务QPS规格的选择依据。 |
| 业务的主要用户群体(例如,访问用户的主要来源地域) | 判断非法攻击来源。 | 方便业务接入后配置DDoS高防的区域封禁策略。 |
| 业务是否为C/S架构 | 如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。 | 无。 |
| 源站是否部署在非中国内地地域 | 判断所配置的实例是否符合最佳网络架构。 | 源站部署在非中国内地地域时,建议选购DDoS高防(非中国内地)服务。 |
| 源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等) | 判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。 | 如果有,需要在源站上设置放行DDoS高防的回源IP。 |
| 业务是否需要支持IPv6协议 | 无。 | 如果您的业务需要支持IPv6协议,建议您使用DDoS原生防护。 |
| 业务使用的协议类型 | 无。 | 用于后续业务接入DDoS高防时配置网站信息,需要选择对应的协议。 |
| 业务端口 | 无。 | 判断源站业务端口是否在DDoS高防的支持端口范围内。 |
| 请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制 | 判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。 | 无。 |
| 业务是否有获取并校验真实源IP机制 | 接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。 | |
| 业务是否使用TLS 1.0或弱加密套件 | 判断业务使用的加密套件是否支持。 | 完成业务接入后,根据需要设置TLS安全策略。 |
| (针对HTTPS业务)服务端是否使用双向认证 | 无。 | DDoS高防暂不支持双向认证,需要变更认证方式。 |
| (针对HTTPS业务)客户端是否支持SNI标准 | 无。 | 对于支持HTTPS协议的域名,接入DDoS高防后,客户端和服务端都需要支持SNI标准。 |
| (针对HTTPS业务)是否存在会话保持机制 | DDoS高防的HTTP和HTTPS默认连接超时时长为120秒。 | 如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。 |
| 业务是否存在空连接 | 例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。 | 无。 |
| 业务交互过程 | 了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略。 | 无。 |
| 活跃用户数量 | 便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施。 | 无。 |
| 业务及攻击情况 |||
| 业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) | 便于在后续攻防过程中分析攻击特征。 | 无。 |
| 业务流量(入方向) | 帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。 | 无。 |
| 业务流量(出方向) | 帮助后续判断是否遭受攻击,并且作为是否需要额外业务带宽扩展的参考依据。 | 无。 |
| 单用户、单IP的入方向流量范围和连接情况 | 帮助后续判断是否可针对单个IP制定限速策略。 | |
| 用户群体属性 | 例如,个人用户、网吧用户、通过代理访问的用户。 | 用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。 |
| 业务是否遭受过大流量攻击及攻击类型 | 根据历史遭受的攻击类型,设置针对性的DDoS防护策略。 | 无。 |
| 业务遭受过最大的攻击流量峰值 | 根据攻击流量峰值判断DDoS高防功能规格的选择。 | |
| 业务是否遭受过CC攻击(HTTP Flood) | 通过分析历史攻击特征,配置预防性策略。 | 无。 |
| 业务遭受过最大的CC攻击峰值QPS | 通过分析历史攻击特征,配置预防性策略。 | 无。 |
| 业务是否提供Web API服务 | 无。 | 如果提供Web API服务,不建议使用频率控制的攻击紧急防护模式。通过分析API访问特征配置自定义CC攻击防护策略,避免API正常请求被拦截。 |
| 业务是否已完成压力测试 | 评估源站服务器的请求处理性能,帮助后续判断是否因遭受攻击导致业务发生异常。 | 无。 |
步骤2:准备工作
重要
在将业务接入DDoS高防时,强烈建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。
在将业务接入DDoS高防前,您需要完成下表描述的准备工作。
|----------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 业务类型 | 准备工作 |
| 网站业务 | * 准备需要接入的网站域名清单,包含网站的源站服务器IP(仅支持公网IP的防护)、端口信息等。 * 所接入的网站域名必须已完成ICP备案。 * 如果您的网站支持HTTPS协议访问,您需要准备相应的证书和私钥信息,一般包含格式为.crt的公钥文件或格式为.pem的证书文件、格式为.key的私钥文件。 * 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录,将网站流量切换至DDoS高防。 * 推荐在将网站业务接入前,完成压力测试。 * 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。在将业务接入后,需要将这些信任的客户端IP加入白名单。 |
| 非网站业务 | * 准备对外提供服务的端口、协议类型。 * 如果业务通过域名访问,需要准备DNS域名解析管理员账号,用于修改DNS解析记录将网站流量切换至DDoS高防。 * 推荐在将业务接入前,完成压力测试。 |
步骤3:接入和配置DDoS高防
-
业务接入配置。
说明
如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。
-
配置源站保护。
为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您完成源站保护配置。
-
配置防护策略。
-
网站域名类业务
-
CC攻击防护
-
业务正常时:将网站业务接入DDoS高防后,建议您在运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。
-
正在遭受CC攻击时:通过查看DDoS高防管理控制台的安全总览报表(,获取域名请求TOP URL、IP地址、访问来源IP、User-agent等参数信息,根据实际情况制定频率控制自定义规则,并观察防护效果。
重要
由于频率控制 的攻击紧急 模式可能会对特定类型的业务造成一定的误拦截,不建议将攻击紧急 作为频率控制 的默认防护模式。如果您的业务类型为App业务或者Web API服务,建议您不要使用攻击紧急模式。
如果使用频率控制 的正常模式仍发现误拦截现象,建议您使用白名单功能放行特定IP。
-
-
(网站业务)AI智能防护
由于AI智能防护策略中的严格 模式存在对业务造成误拦截的可能性,且网站域名类业务接入对常见四层攻击已有天然的防护能力,请您不要使用网站业务AI智能防护中的严格 模式,建议使用默认的正常模式。
-
开启全量日志
强烈建议您开启全量日志分析服务。当业务遭受网络七层攻击时,可以通过全量日志功能分析攻击行为特征,针对性制定防护策略。
说明
开通全量日志服务将可能产生额外费用,请您在开通服务前确认。
-
-
非网站端口类业务
一般情况下,将非网站业务接入DDoS高防后,采用默认防护配置即可。在运行一段时间后(两、三天左右),您可以根据业务情况调整四层AI智能防护的模式,可有效提升针对网络四层CC攻击的防护效果。
说明
如果您的业务是API类型或存在集中单个IP访问(例如,办公网出口、单个服务器IP、高频率调用API接口业务等)的情况,请不要开启非网站业务AI智能防护策略的严格 模式。如果确实需要使用严格防护模式,请联系阿里云技术支持人员确认情况后再启用,避免因误拦截造成业务无法访问。
如果您发现有攻击流量透传到源站服务器的情况,建议您启用DDoS防护策略中的源、目的连接限速策略。在不完全清楚业务情况时,建议将源新建连接限速和并发连接限速均设置为5。如果发现存在误拦截的现象,您可调整数值,适当放宽限速策略。
如果存在服务端主动发送数据包的业务场景,需要关闭空连接防护策略,避免正常业务受到影响。
-
-
本地测试。
完成上述DDoS高防配置后,建议您进行配置准确性检查和验证测试。
说明
您可以通过修改本地系统hosts文件的方式进行本地测试。
|--------|-------------------------------------------------|
| 编号 | 检查项 |
| 网站域名类业务接入检查项(必检) ||
| 1 | 接入配置域名是否填写正确。 |
| 2 | 域名是否备案。 |
| 3 | 接入配置协议是否与实际协议一致。 |
| 4 | 接入配置端口是否与实际提供的服务端口一致。 |
| 5 | 源站填写的IP是否是真实服务器IP,而不是错误地填写了DDoS高防实例的IP或其他服务的IP。 |
| 6 | 证书信息是否正确上传。 |
| 7 | 证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。 |
| 8 | 证书链是否完整。 |
| 9 | 是否已了解DDoS高防(中国内地)实例的弹性防护计费方式。 |
| 10 | 协议类型是否启用Websocket、Websockets协议。 |
| 11 | 是否开启频率控制的攻击紧急和严格模式。 |
| 非网站端口类业务检查项(必检) ||
| 1 | 业务端口是否可以正常访问。 |
| 2 | 接入配置协议是否与实际协议一致;确认未错误地为TCP协议业务配置UDP协议规则等。 |
| 3 | 源站填写的IP是否是真实服务器IP,而不是错误地填写了DDoS高防实例的IP或其他服务的IP。 |
| 4 | 是否已了解DDoS高防实例(中国内地)实例的弹性防护计费方式。 |
| 5 | 是否开启四层AI智能防护的严格模式。 |
[表 1. 配置准确性检查项]|--------|-----------------------------------------------|
| 编号 | 检查项 |
| 1(必检项) | 测试业务是否能够正常访问。 |
| 2(必检项) | 测试业务登录会话保持功能是否正常。 |
| 3(必检项) | (网站域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。 |
| 4(必检项) | (网站域名类业务)对于App业务,测试HTTPS链路访问是否正常。检查是否存在SNI问题。 |
| 5(建议项) | 是否配置后端服务器获取真实访问源IP。 |
| 6(建议项) | (网站域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站。 |
| 7(必检项) | 测试TCP业务的端口是否可以正常访问。 |
[表 2. 业务可用性验证项] -
正式切换业务流量。
必要检查项均检测通过后,建议采用灰度的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。
说明
修改DNS解析记录后,需要10分钟左右生效。
真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。
-
配置监控告警。
建议您使用云监控对已接入DDoS高防进行防护的域名、端口和业务源站端口进行监控,实时监控其可用性、HTTP返回状态码(5XX、4XX类状态码)等,及时发现业务异常现象。
-
日常运维。
-
弹性后付费和保险版高级防护次数:
-
首次购买DDoS高防(中国内地)的用户可以免费获得三个300 Gbps规格的抗D包,建议您尽快将其绑定至DDoS高防实例并将弹性防护阈值设置为300 Gbps。绑定成功后,当日内(自然日)所遭受的抗D包防护规格内(300 Gbps以内)的攻击防护流量将不会产生弹性防护费用。
说明
如果您在抗D包耗尽后或到期后不想启用DDoS高防的弹性防护能力,应及时将弹性防护阈值调整为实例的保底防护带宽。
-
如果需要启用DDoS高防(中国内地)的弹性防护能力,请务必先查看DDoS高防,避免出现实际产生的弹性防护费用超出预算的情况。
-
DDoS高防(非中国内地)的保险版实例,每月免费赠送两次高级防护。建议您根据业务需求情况选择对应的套餐版本。
-
-
判断攻击类型:
当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看DDoS高防管理控制台的安全总览报表,根据攻击流量信息判断遭受的攻击类型:
-
DDoS攻击类型:在实例 防护报表中有攻击流量的波动,且已触发流量清洗,但在域名防护报表中不存在相关联的波动。
-
CC攻击类型: 在实例 防护报表中有攻击流量的波动,已触发流量清洗,且在域名防护报表中有相关联的波动。
-
-
业务访问延时或丢包:
针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况,如果用户访问网站时存在延时高、丢包等现象,可能存在跨网络运营商导致的访问链路不稳定,推荐您使用DDoS高防(非中国内地)实例并搭配加速线路。
-
删除域名或端口转发配置:
如果需要删除已防护的域名端口转发配置记录,直接在DDoS高防管理控制台确认业务是否已正式接入DDoS高防。
-
如果尚未正式切换业务流量,删除域名或端口转发配置记录即可。
-
如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。
说明
-
删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。
-
删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。
-
-
紧急接入场景须知
如果您的业务已经遭受攻击,建议您在将业务接入DDoS高防时注意以下内容:
-
业务已遭受DDoS攻击
一般情况下,业务接入DDoS高防后,采用默认防护配置即可。
如果您发现有网络四层CC攻击透传到源站服务器的情况,建议您开启DDoS防护策略中的源、目的连接限速策略。
-
源站IP已被黑洞
如果在接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,应及时更换源站ECS IP(如果源站为SLB实例,则更换SLB实例公网IP)。更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。
如果您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署负载均衡SLB实例,并将SLB实例的公网IP作为源站IP接入DDoS高防。
说明
如果您的业务源站服务器未部署在阿里云,遭受攻击后需要紧急接入DDoS高防进行防护,请确认您业务使用的域名已通过工信部备案,并在将业务接入DDoS高防前联系阿里云技术支持人员对域名进行特殊处理,避免由于域名未通过阿里云接入备案,导致业务无法正常访问。
-
遭受CC攻击或爬虫攻击
业务遭受CC攻击、爬虫攻击时,在将业务接入DDoS高防后,需要通过分析HTTP访问日志,判断攻击特征并设置相应的防护策略(例如,分析访问源IP、URL、Referer、User Agent、Params、Header等请求字段是否合法)。