DDoS高防提供針對網絡四層DDoS攻擊的防護策略設置功能,例如虛假源和空連接檢測、源限速、目的限速,適用于優化調整非網站業務的DDoS防護策略。在DDoS高防實例下添加端口轉發規則,接入非網站業務后,您可以單獨設置某個端口的DDoS防護策略或批量添加DDoS防護策略。本文介紹了具體的操作方法。
前提條件
已在端口接入中配置非網站業務端口轉發規則。更多信息,請參見配置端口轉發規則。
功能介紹
非網站業務的DDoS防護策略是基于“IP地址+端口”級別的防護,對于已接入DDoS高防實例的非網站業務的“IP+端口”的連接速度、包長度等參數進行限制,實現緩解小流量的連接型攻擊的防護能力。DDoS防護策略配置針對端口級別生效。
DDoS高防為已接入的非網站業務提供以下DDoS防護策略。
虛假源:針對虛假IP發起的DDoS攻擊進行校驗過濾。
目的限速:以當前高防IP、端口為統計對象,當每秒訪問頻率超出閾值時,對當前高防IP的端口進行限速,其余端口不受限速影響。
包長度過濾:設置允許通過的包最小和最大長度,小于最小長度或者大于最大長度的包會被丟棄。
源限速:以當前高防IP、端口為統計對象,對訪問頻率超出閾值的源IP地址進行限速。訪問速率未超出閾值的源IP地址,訪問不受影響。源限速支持黑名單控制,對于60秒內5次超限的源IP,您可以開啟將源IP加入黑名單的策略,并設置黑名單的有效時長。
高級攻擊防護:針對基于Mirai等僵尸網絡建立TCP三次握手后,短時間內發送海量異常報文的DDoS攻擊行為進行識別和攔截。
設置單條DDoS防護策略
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇。
在通用防護策略頁面,單擊非網站業務DDoS防護頁簽,并在頁面上方選擇要設置的DDoS高防實例。
從左側轉發規則列表中單擊要設置的轉發規則。
為指定的轉發規則設置虛假源、目的限速、包長度過濾、源限速。
虛假源:在虛假源下開啟或關閉虛假源和空連接開關。
參數
描述
虛假源
虛假源地址攻擊防護開關。開啟后將自動過濾虛假源IP地址的連接請求。
說明僅適用于TCP協議規則。
空連接
空連接防護開關。開啟后將自動過濾空連接請求。
說明僅適用于TCP協議規則,且要開啟空連接,必須先開啟虛假源。
高級攻擊防護:在高級攻擊防護下開啟或關閉功能開關,并支持您選擇對應的防護等級,默認推薦為正常模式。
說明僅適用于TCP協議規則。
開啟高級攻擊防護,必須先開啟虛假源。
防護等級
防護效果
應用場景
寬松
對有明顯攻擊特征的請求進行攔截,可能存在少量漏過,但誤殺率極低。
適合于直播、流媒體、下載等具備單向大量傳輸的業務或者源站帶寬較大的業務。
正常(推薦)
一般情況下,不會對正常業務造成影響,能夠充分平衡防護效果和誤殺率,建議您在一般情況下選擇該等級。
適用于絕大多數業務場景。
嚴格
對惡意攻擊進行嚴格校驗,但可能存在一定誤殺。
適合源站帶寬較小或防護效果不佳的場景。
源限速:單擊源限速下的設置,完成以下配置,并單擊確定。
參數
描述
源新建連接限速
限制單一源IP的每秒新建連接數量,取值范圍:1~50000(個)。超過限制的新建連接將被丟棄。
自動:系統將動態自動計算源新建連接限速閾值,無需手動設置。
手動:需要手動設置源新建連接限速閾值。
說明由于防護設備為集群化部署,新建連接限速存在一定誤差。
黑名單策略 :
支持源新建連接60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其連接請求都將被丟棄。
開啟黑名單策略時,需要設置黑名單有效時長,取值范圍:1~10080(分鐘),默認為30分鐘。源IP被加入黑名單時,經有效時長后自動被釋放。
源并發連接限速
限制單一源IP的并發連接數量,取值范圍:1~50000(個)。超過限制的并發連接將被丟棄。
黑名單策略:
支持源并發連接60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其連接請求都將被丟棄。
開啟黑名單策略時,需要設置黑名單有效時長,取值范圍:1~10080(分鐘),默認為30分鐘。源IP被加入黑名單時,經有效時長后自動被釋放。
源PPS限速
限制單一源IP的包轉發數量,取值范圍:1~100000(Packet/s)。超過限制的數據包將被丟棄。
黑名單策略 :
支持源PPS連接60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其連接請求都將被丟棄。
開啟黑名單策略時,需要設置黑名單有效時長,取值范圍:1~10080(分鐘),默認為30分鐘。源IP被加入黑名單時,經有效時長后自動被釋放。
源帶寬限速
限制單一源IP的源請求帶寬,取值范圍:1024~268435456(Byte/s)。
黑名單策略:
支持源帶寬連接60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其連接請求都將被丟棄。
開啟黑名單策略時,需要設置黑名單有效時長,取值范圍:1~10080(分鐘),默認為30分鐘。源IP被加入黑名單時,經有效時長后自動被釋放。
目的限速:單擊目的限速下的設置,完成以下配置,并單擊確定。
參數
描述
目的新建連接限速
限制高防IP端口每秒最大新建連接數,取值范圍:100~100000(個)。超過限制的新建連接將被丟棄。
說明由于防護設備為集群化部署,新建連接限速存在一定誤差。
目的并發連接限速
限制高防IP端口的最大并發連接數量,取值范圍:1000~1000000(個)。超過限制的并發連接將被丟棄。
包長度過濾:單擊包長度過濾下的設置,設置允許通過高防IP端口的報文所含payload的最小和最大長度,取值范圍:0~6000(Byte),并單擊確定。
批量添加DDoS防護策略
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇。
在端口接入頁面,選擇DDoS高防實例,并單擊規則列表下方的。
在添加DDoS防護策略對話框,按照格式要求輸入要添加的防護策略內容,并單擊確定。
說明您也可以先批量導出當前DDoS防護策略,在導出的txt文件中統一調整后再將內容復制粘貼進來。導出文件中的DDoS防護策略格式和批量添加DDoS防護策略的格式要求一致。更多信息,請參見批量導出。
每行對應一條轉發規則的DDoS防護策略。
每條DDoS防護策略從左到右包含以下字段:轉發協議端口、轉發協議(tcp、udp)、源新建連接限速、源并發連接限速、目的新建連接限速、目的并發連接限速、包長度最小值、包長度最大值、虛假源開關、空連接開關。字段間以空格分隔。
轉發協議端口必須是已配置轉發規則的端口。
虛假源開關和空連接開關的取值是:on、off。若為空則表示關閉(即off)。