阿里云国际DDoS高防接入配置最佳实践

业务接入DDoS高防产品后,可以将攻击流量引流到DDoS高防,有效避免业务在遭受大流量DDoS攻击时出现服务不可用的情况,确保源站服务器的稳定可靠。本文九河云的接入配置和防护策略最佳实践,在各类场景中使用DDoS高防更好地保护您的业务。

接入配置流程概述

接入场景

接入配置流程

正常情况下的业务接入

  1. 业务梳理

  2. 准备工作

  3. 接入和配置DDOS高防

业务遭受攻击时的紧急接入

步骤1:业务梳理

首先,建议您对需要接入DDoS高防进行防护的业务情况进行全面梳理,帮助您了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能模块提供指导依据。

梳理项

说明

操作建议

网站和业务信息

网站或应用业务每天的流量峰值情况,包括Mbps、QPS

判断风险时间点。

作为DDoS高防实例的业务带宽和业务QPS规格的选择依据。

业务的主要用户群体(例如,访问用户的主要来源地域)

判断非法攻击来源。

方便业务接入后配置DDoS高防的区域封禁策略。

业务是否为C/S架构

如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。

无。

源站是否部署在非中国内地地域

判断所配置的实例是否符合最佳网络架构。

源站部署在非中国内地地域时,建议选购DDoS高防(非中国内地)服务。

源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等)

判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。

如果有,需要在源站上设置放行DDoS高防的回源IP。

业务是否需要支持IPv6协议

无。

如果您的业务需要支持IPv6协议,建议您使用DDoS原生防护。

业务使用的协议类型

无。

用于后续业务接入DDoS高防时配置网站信息,需要选择对应的协议。

业务端口

无。

判断源站业务端口是否在DDoS高防的支持端口范围内。

请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制

判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。

无。

业务是否有获取并校验真实源IP机制

接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。

业务是否使用TLS 1.0或弱加密套件

判断业务使用的加密套件是否支持。

完成业务接入后,根据需要设置TLS安全策略。

(针对HTTPS业务)服务端是否使用双向认证

无。

DDoS高防暂不支持双向认证,需要变更认证方式。

(针对HTTPS业务)客户端是否支持SNI标准

无。

对于支持HTTPS协议的域名,接入DDoS高防后,客户端和服务端都需要支持SNI标准。

(针对HTTPS业务)是否存在会话保持机制

DDoS高防的HTTP和HTTPS默认连接超时时长为120秒。

如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。

业务是否存在空连接

例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。

无。

业务交互过程

了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略。

无。

活跃用户数量

便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施。

无。

业务及攻击情况

业务类型及业务特征(例如,游戏、棋牌、网站、App等业务)

便于在后续攻防过程中分析攻击特征。

无。

业务流量(入方向)

帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。

无。

业务流量(出方向)

帮助后续判断是否遭受攻击,并且作为是否需要额外业务带宽扩展的参考依据。

无。

单用户、单IP的入方向流量范围和连接情况

帮助后续判断是否可针对单个IP制定限速策略。

用户群体属性

例如,个人用户、网吧用户、通过代理访问的用户。

用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。

业务是否遭受过大流量攻击及攻击类型

根据历史遭受的攻击类型,设置针对性的DDoS防护策略。

无。

业务遭受过最大的攻击流量峰值

根据攻击流量峰值判断DDoS高防功能规格的选择。

业务是否遭受过CC攻击(HTTP Flood)

通过分析历史攻击特征,配置预防性策略。

无。

业务遭受过最大的CC攻击峰值QPS

通过分析历史攻击特征,配置预防性策略。

无。

业务是否提供Web API服务

无。

如果提供Web API服务,不建议使用频率控制的攻击紧急防护模式。通过分析API访问特征配置自定义CC攻击防护策略,避免API正常请求被拦截。

业务是否已完成压力测试

评估源站服务器的请求处理性能,帮助后续判断是否因遭受攻击导致业务发生异常。

无。

步骤2:准备工作

重要

在将业务接入DDoS高防时,强烈建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。

在将业务接入DDoS高防前,您需要完成下表描述的准备工作。

业务类型

准备工作

网站业务

  • 准备需要接入的网站域名清单,包含网站的源站服务器IP(仅支持公网IP的防护)、端口信息等。

  • 所接入的网站域名必须已完成ICP备案。

  • 如果您的网站支持HTTPS协议访问,您需要准备相应的证书和私钥信息,一般包含格式为.crt的公钥文件或格式为.pem的证书文件、格式为.key的私钥文件。

  • 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录,将网站流量切换至DDoS高防。

  • 推荐在将网站业务接入前,完成压力测试。

  • 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。在将业务接入后,需要将这些信任的客户端IP加入白名单。

非网站业务

  • 准备对外提供服务的端口、协议类型。

  • 如果业务通过域名访问,需要准备DNS域名解析管理员账号,用于修改DNS解析记录将网站流量切换至DDoS高防。

  • 推荐在将业务接入前,完成压力测试。

步骤3:接入和配置DDoS高防

  1. 业务接入配置。

    说明

    如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。

  2. 配置源站保护。

    为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您完成源站保护配置。

  3. 配置防护策略。

    • 网站域名类业务

      • CC攻击防护

        • 业务正常时:将网站业务接入DDoS高防后,建议您在运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。

        • 正在遭受CC攻击时:通过查看DDoS高防管理控制台的安全总览报表(,获取域名请求TOP URL、IP地址、访问来源IP、User-agent等参数信息,根据实际情况制定频率控制自定义规则,并观察防护效果。

          重要

          由于频率控制攻击紧急模式可能会对特定类型的业务造成一定的误拦截,不建议将攻击紧急作为频率控制的默认防护模式。如果您的业务类型为App业务或者Web API服务,建议您不要使用攻击紧急模式。

          如果使用频率控制正常模式仍发现误拦截现象,建议您使用白名单功能放行特定IP。

      • (网站业务)AI智能防护

        由于AI智能防护策略中的严格模式存在对业务造成误拦截的可能性,且网站域名类业务接入对常见四层攻击已有天然的防护能力,请您不要使用网站业务AI智能防护中的严格模式,建议使用默认的正常模式。

      • 开启全量日志

        强烈建议您开启全量日志分析服务。当业务遭受网络七层攻击时,可以通过全量日志功能分析攻击行为特征,针对性制定防护策略。

        说明

        开通全量日志服务将可能产生额外费用,请您在开通服务前确认。

    • 非网站端口类业务

      一般情况下,将非网站业务接入DDoS高防后,采用默认防护配置即可。在运行一段时间后(两、三天左右),您可以根据业务情况调整四层AI智能防护的模式,可有效提升针对网络四层CC攻击的防护效果。

      说明

      如果您的业务是API类型或存在集中单个IP访问(例如,办公网出口、单个服务器IP、高频率调用API接口业务等)的情况,请不要开启非网站业务AI智能防护策略的严格模式。如果确实需要使用严格防护模式,请联系阿里云技术支持人员确认情况后再启用,避免因误拦截造成业务无法访问。

      如果您发现有攻击流量透传到源站服务器的情况,建议您启用DDoS防护策略中的源、目的连接限速策略。在不完全清楚业务情况时,建议将源新建连接限速和并发连接限速均设置为5。如果发现存在误拦截的现象,您可调整数值,适当放宽限速策略。

      源限速设置

      如果存在服务端主动发送数据包的业务场景,需要关闭空连接防护策略,避免正常业务受到影响。

      空连接

  4. 本地测试。

    完成上述DDoS高防配置后,建议您进行配置准确性检查和验证测试。

    说明

    您可以通过修改本地系统hosts文件的方式进行本地测试。

    表 1. 配置准确性检查项

    编号

    检查项

    网站域名类业务接入检查项(必检)

    1

    接入配置域名是否填写正确。

    2

    域名是否备案。

    3

    接入配置协议是否与实际协议一致。

    4

    接入配置端口是否与实际提供的服务端口一致。

    5

    源站填写的IP是否是真实服务器IP,而不是错误地填写了DDoS高防实例的IP或其他服务的IP。

    6

    证书信息是否正确上传。

    7

    证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。

    8

    证书链是否完整。

    9

    是否已了解DDoS高防(中国内地)实例的弹性防护计费方式。

    10

    协议类型是否启用Websocket、Websockets协议。

    11

    是否开启频率控制的攻击紧急和严格模式。

    非网站端口类业务检查项(必检)

    1

    业务端口是否可以正常访问。

    2

    接入配置协议是否与实际协议一致;确认未错误地为TCP协议业务配置UDP协议规则等。

    3

    源站填写的IP是否是真实服务器IP,而不是错误地填写了DDoS高防实例的IP或其他服务的IP。

    4

    是否已了解DDoS高防实例(中国内地)实例的弹性防护计费方式。

    5

    是否开启四层AI智能防护的严格模式。

    表 2. 业务可用性验证项

    编号

    检查项

    1(必检项)

    测试业务是否能够正常访问。

    2(必检项)

    测试业务登录会话保持功能是否正常。

    3(必检项)

    (网站域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。

    4(必检项)

    (网站域名类业务)对于App业务,测试HTTPS链路访问是否正常。检查是否存在SNI问题。

    5(建议项)

    是否配置后端服务器获取真实访问源IP。

    6(建议项)

    (网站域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站。

    7(必检项)

    测试TCP业务的端口是否可以正常访问。

  5. 正式切换业务流量。

    必要检查项均检测通过后,建议采用灰度的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。

    说明

    修改DNS解析记录后,需要10分钟左右生效。

    真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。

  6. 配置监控告警。

    建议您使用云监控对已接入DDoS高防进行防护的域名、端口和业务源站端口进行监控,实时监控其可用性、HTTP返回状态码(5XX、4XX类状态码)等,及时发现业务异常现象。

  7. 日常运维。

    • 弹性后付费和保险版高级防护次数

      • 首次购买DDoS高防(中国内地)的用户可以免费获得三个300 Gbps规格的抗D包,建议您尽快将其绑定至DDoS高防实例并将弹性防护阈值设置为300 Gbps。绑定成功后,当日内(自然日)所遭受的抗D包防护规格内(300 Gbps以内)的攻击防护流量将不会产生弹性防护费用。

        说明

        如果您在抗D包耗尽后或到期后不想启用DDoS高防的弹性防护能力,应及时将弹性防护阈值调整为实例的保底防护带宽。

      • 如果需要启用DDoS高防(中国内地)的弹性防护能力,请务必先查看DDoS高防,避免出现实际产生的弹性防护费用超出预算的情况。

      • DDoS高防(非中国内地)的保险版实例,每月免费赠送两次高级防护。建议您根据业务需求情况选择对应的套餐版本。

    • 判断攻击类型

      当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看DDoS高防管理控制台​的安全总览报表,根据攻击流量信息判断遭受的攻击类型:

      • DDoS攻击类型:在实例防护报表中有攻击流量的波动,且已触发流量清洗,但在域名防护报表中不存在相关联的波动。

      • CC攻击类型: 在实例防护报表中有攻击流量的波动,已触发流量清洗,且在域名防护报表中有相关联的波动。

    • 业务访问延时或丢包

      针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况,如果用户访问网站时存在延时高、丢包等现象,可能存在跨网络运营商导致的访问链路不稳定,推荐您使用DDoS高防(非中国内地)实例并搭配加速线路。

    • 删除域名或端口转发配置

      如果需要删除已防护的域名端口转发配置记录,直接在DDoS高防管理控制台​确认业务是否已正式接入DDoS高防。

      • 如果尚未正式切换业务流量,删除域名或端口转发配置记录即可。

      • 如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。

      说明

      • 删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。

      • 删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。

紧急接入场景须知

如果您的业务已经遭受攻击,建议您在将业务接入DDoS高防时注意以下内容:

  • 业务已遭受DDoS攻击

    一般情况下,业务接入DDoS高防后,采用默认防护配置即可。

    如果您发现有网络四层CC攻击透传到源站服务器的情况,建议您开启DDoS防护策略中的源、目的连接限速策略。

  • 源站IP已被黑洞

    如果在接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,应及时更换源站ECS IP(如果源站为SLB实例,则更换SLB实例公网IP)。更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。

    如果您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署负载均衡SLB实例,并将SLB实例的公网IP作为源站IP接入DDoS高防。

    说明

    如果您的业务源站服务器未部署在阿里云,遭受攻击后需要紧急接入DDoS高防进行防护,请确认您业务使用的域名已通过工信部备案,并在将业务接入DDoS高防前联系阿里云技术支持人员对域名进行特殊处理,避免由于域名未通过阿里云接入备案,导致业务无法正常访问。

  • 遭受CC攻击或爬虫攻击

    业务遭受CC攻击、爬虫攻击时,在将业务接入DDoS高防后,需要通过分析HTTP访问日志,判断攻击特征并设置相应的防护策略(例如,分析访问源IP、URL、Referer、User Agent、Params、Header等请求字段是否合法)。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/742772.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux系统下基于VSCode和Cmake进行C++开发

目录 简介一、GCC编译器1.1创建cpp文件1.2编译过程1.3g重要编译参数 二、GDB调试器三、IDE-VScode3.1 VSCode常用快捷键3.2 swap测试 四、CMake4.1CMake介绍4.2 CMake语法特性介绍4.3 CMake重要指令和常用变量4.4 CMake编译流程4.5CMake代码实践 五、使用VSCode进行完整项目开发…

【JavaScript】面试手撕柯里化函数

🌈个人主页: 鑫宝Code 🔥热门专栏: 闲话杂谈| 炫酷HTML | JavaScript基础 ​💫个人格言: "如无必要,勿增实体" 文章目录 引入柯里化定义实现快速使用柯里化的作用提高自由度bind函数 参考资料 引入 上周…

开源绘图工具 PlantUML 入门教程(常用于画类图、用例图、时序图等)

文章目录 一、类图二、用例图三、时序图 一、类图 类的UML图示 startuml skinparam classAttributeIconSize 0 class Dummy {-field1 : String#field2 : int~method1() : Stringmethod2() : void } enduml定义能见度(可访问性) startumlclass Dummy {-f…

ES6(一):let和const、模板字符串、函数默认值、剩余参数、扩展运算符、箭头函数

一、let和const声明变量 1.let没有变量提升&#xff0c;把let放下面打印不出来&#xff0c;放上面可以 <script>console.log(a);let a1;</script> 2.let是一个块级作用域,花括号里面声明的变量外面找不到 <script>console.log(b);if(true){let b1;}//und…

vscode插件开发-发布插件

安装vsce vsce是“Visual Studio Code Extensions”的缩写&#xff0c;是一个用于打包、发布和管理VS Code扩展的命令行工具。 确保您安装了Node.js。然后运行&#xff1a; npm install -g vscode/vsce 您可以使用vsce轻松打包和发布扩展&#xff1a; // 打包插件生成name…

一.java介绍和idea基础使用

java技术体系 Java技术体系说明Java SE(Java standard Edition):标准版Java技术的核心和基础Java EE(Java Enterprise Edition):企业版企业级应用开发的一套解决方案Java ME(Java Micro Edition):小型版针对移动设备应用的解决方案&#xff08;认可少&#xff0c;主要是安卓和…

目标跟踪SORT算法原理浅析

SORT算法 Simple Online and Realtime Tracking(SORT)是一个非常简单、有效、实用的多目标跟踪算法。在SORT中&#xff0c;仅仅通过IOU来进行匹配虽然速度非常快&#xff0c;但是ID switch依然非常严重。 SORT最大特点是基于Faster RCNN的目标检测方法&#xff0c;并利用卡尔…

Unity开发中Partial 详细使用案例

文章目录 **1. 分割大型类****2. 与 Unity 自动生成代码协同工作****3. 团队协作****4. 共享通用逻辑****5. 自定义编辑器相关代码****6. 配合 Unity 的 ScriptableObjects 使用****7. 多人协作与版本控制系统友好** 在 Unity 开发中&#xff0c; partial 关键字是 C# 语言提供…

【音视频开发】:RTSP服务器协议内容

一、什么是RTSP协议 RTSP是一个实时传输流协议&#xff0c;是一个应用层的协议。通常说的RTSP包括RTSP协议、RTP协议、RTCP协议。 RTSP协议&#xff1a;负责服务器与客户端之间的请求与相应RTP协议 &#xff1a;负责服务器与客户端之间传输媒体数据RTCP协议&#xff1a;负责提…

使用html+css制作一个发光立方体特效

使用htmlcss制作一个发光立方体特效 <!DOCTYPE html> <html lang"zh-CN"><head><meta charset"UTF-8" /><meta name"viewport" content"widthdevice-width, initial-scale1.0" /><title>Documen…

Acwing.4261 孤独的照片(贡献法)

题目 Farmer John 最近购入了 N 头新的奶牛&#xff0c;每头奶牛的品种是更赛牛&#xff08;Guernsey&#xff09;或荷斯坦牛&#xff08;Holstein&#xff09;之一。 奶牛目前排成一排&#xff0c;Farmer John 想要为每个连续不少于三头奶牛的序列拍摄一张照片。 然而&…

视觉信息处理与FPGA实现第三次作业-7人表决器

一、模块端口图 二、代码 timescale 1ns / 1nsmodule vote_7(person1,person2,person3,person4,person5,person6,person7,out); input person1,person2,person3,person4,person5,person6,person7 ; output out ; assi…

mac激活pycharm,python环境安装和包安装问题

1.PyCharm到官网下载就行 地址&#xff1a;Other Versions - PyCharm (jetbrains.com) 2.MacOS 下载python环境&#xff0c;地址&#xff1a; Python Releases for macOS | Python.org 3.PyCharm环境配置&#xff1a; 4. 如果包下载不下来可以换个源试试 pip install py…

在Linux/Ubuntu/Debian中使用windows应用程序/软件

Wine 是一个兼容层&#xff0c;允许你在类 Unix 操作系统&#xff08;包括 Ubuntu&#xff09;上运行 Windows 应用程序。 以下是在 Ubuntu 上安装和使用 Wine 的基本步骤&#xff1a; 在 Ubuntu 上安装 Wine&#xff1a; 更新软件包列表&#xff1a; 打开终端并运行以下命令以…

苹果电脑下载crossover对电脑有影响吗 crossover mac 好用吗CrossOver虚拟机 CrossOver打游戏

苹果电脑下载crossover对电脑有影响吗&#xff1f; 在苹果电脑下载安装crossover对电脑没有什么影响&#xff0c;并且可以解决macOS系统不能安装Windows应用程序的问题。相较于虚拟机和双系统而言&#xff0c;crossover安装软件更简单&#xff0c;占用内存也更小。下面我们来看…

Django框架的全面指南:从入门到高级【第128篇—Django框架】

Django框架的全面指南&#xff1a;从入门到高级 Django是一个高效、功能强大的Python Web框架&#xff0c;它被广泛用于构建各种规模的Web应用程序。无论是初学者还是有经验的开发人员&#xff0c;都可以从入门到掌握Django的高级技巧。在本指南中&#xff0c;我们将带你逐步了…

云原生消息流系统 Apache RocketMQ 在腾讯云的大规模生产实践

导语 随着云计算技术的日益成熟&#xff0c;云原生应用已逐渐成为企业数字化转型的核心驱动力。在这一大背景下&#xff0c;高效、稳定、可扩展的消息流系统显得尤为重要。腾讯云高级开发工程师李伟先生&#xff0c;凭借其深厚的技术功底和丰富的实战经验&#xff0c;为我们带…

计算机网络-第4章 网络层(2)

主要内容&#xff1a;网络层提供的两种服务&#xff1a;虚电路和数据报&#xff08;前者不用&#xff09;、ip协议、网际控制报文协议ICMP、路由选择协议&#xff08;内部网关和外部网关&#xff09;、IPv6,IP多播&#xff0c;虚拟专用网、网络地址转换NAT&#xff0c;多协议标…

爬虫 配置charles

1,安装charles(青花瓷) 网上有很多资源这里我也传不上去 2,配置代理 访问控制 监听端口 证书 安装过程&#xff1a;点击help --》SSL proxying --》install charles root certificate --》安装证书 --》选择本地计算机 --》点下一步 --》选择将所有的证书都放入下列存储 -- 》…

java拷贝数组

package com.mohuanan.exercise;public class Exercise {public static void main(String[] args) {int[] arr {1, 2, 3, 4, 5, 6, 7, 8, 8}; //格式化快捷键 CTRL 加 Alt 加 L键// F1截图 F3贴图//调用 copyOfRangeint[] ints copyOfRange(arr, 3, 7);for (int i 0; i &l…