業務接入DDoS高防實例進行防護后,您可以查詢DDoS高防實例上發生的攻擊事件記錄和詳情,幫助您了解攻擊來源IP、攻擊類型分布、攻擊來源地區分布等信息,實現攻擊防護流程的透明化,提升防護分析體驗,還可以針對性地進行防護配置。本文介紹如何查詢攻擊事件。
攻擊事件類型
攻擊事件類型 | 說明 |
web資源耗盡型 | 攻擊方以業務域名為攻擊目標,通過模擬正常用戶請求,頻繁訪問Web服務中資源消耗較大的頁面,大量消耗服務器資源,導致服務器資源耗盡,無法響應正常業務請求。 如果多個業務域名在同一時間遭受攻擊,則產生多個Web資源耗盡型攻擊事件。 |
連接型 | 攻擊方以業務端口為攻擊目標,通過非法占用服務器的TCP、UDP連接通道,大量消耗服務器連接數資源,使服務器無法處理新的連接請求,導致正常業務無法運行。 如果一個DDoS高防IP下的多個業務端口在同一時間遭受攻擊,則產生多個連接型攻擊事件。 |
流量型 | 攻擊方以DDoS高防IP為攻擊目標,通常利用大量傀儡機同時發起大量業務請求,通過大流量壓垮網絡設備和服務器,導致帶寬擁塞,服務無法響應。 如果多個DDoS高防IP在同一時間遭受攻擊,則產生多個流量型攻擊事件。 說明 為避免事件太多對您的業務造成干擾,所以高防默認策略為入流量大于1Gbps,且產生100Mbps的丟棄流量時才會生成攻擊事件。入流量小于默認策略,則不產生事件。但考慮到您可能業務流量較小,所以提供自定義配置告警閾值,您可在安全總覽頁面單擊設置告警閾值區域自行配置。通過配置告警閾值可以解決您在控制臺上看到有清洗流量但沒有攻擊事件的問題。 |
前提條件
已購買DDoS高防(中國內地)實例或DDoS高防(非中國內地)實例。具體操作,請參見購買DDoS高防實例。
查詢攻擊事件記錄
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇。
在攻擊分析頁面,選擇要查詢的攻擊事件類型及事件范圍,查詢相關的攻擊記錄。
說明最多允許查詢最近180天內的攻擊事件。
(可選)單擊操作列的查看詳情,查看攻擊事件詳情。
您可以在事件詳情頁面的右上角,單擊導出報表并選擇導出圖片、導出pdf,將當前事件詳情頁面另存為本地文件(PNG格式、PDF格式)。
如果您對某個攻擊事件的防護效果有任何建議或疑問,可以通過單擊事件操作列下的效果反饋向我們反饋,我們會根據您的寶貴意見持續優化和改進防護效果。
攻擊事件詳情介紹
Web資源耗盡型
您可以查看事件詳情并對域名進行針對性的防護配置。
支持查看的事件內容 | 說明 |
攻擊事件基本信息 |
|
攻擊防護詳情 | 入方向總QPS和觸發不同模塊下防護策略的QPS的變化趨勢圖,以及觸發的防護策略的策略生效時間和攔截次數信息。您也可以在該區域的右上角,設置要查詢的時間范圍。 網站業務防護模塊包括黑名單、區域封禁、頻率控制、精準訪問控制、其他(例如人機校驗失敗等)。關于不同防護模塊的配置方法,請參見網站業務DDoS防護。 |
防護模塊過濾分布 | 展示了不同防護模塊攔截的攻擊請求的數量分布。 您可以單擊區域下方的防護設置,為不同防護模塊配置防護策略。關于不同防護模塊的配置方法,請參見網站業務DDoS防護。 |
Top10攻防策略 | 展示了被命中次數最多的10條防護策略及其占比。單擊更多可以查看Top 100攻防策略及不同策略的占比。 您可以單擊區域下方的防護設置,為不同防護模塊配置防護策略。關于不同防護模塊的配置方法,請參見網站業務DDoS防護。 |
來源地區 | 展示了攻擊請求的來源地區分布,支持查看全球分布(國家維度)、中國內地分布(省市區維度)。單擊更多可以查看不同來源地區的請求占比數據。 如果您需要封禁某個攻擊來源地區的流量,可以單擊區域下方的防護設置,為被攻擊域名配置區域封禁(針對域名)。具體操作,請參見設置區域封禁(針對域名)。 |
URL | 展示了被請求次數最多的5條URL。按照被請求次數由高到低排序。單擊更多查看所有被請求的URL(即URI和所屬域名)及不同URL的占比。 如果您需要針對具體URI配置訪問限速策略,可以單擊區域下方的防護設置,為被攻擊域名配置頻率控制。具體操作,請參見設置頻率控制。 |
URI響應時間 | 展示了URI響應時間最長的5個URI。URI響應時間是指從客戶端發出請求獲取特定URI代表的資源,到接收完服務端響應并處理完畢的總時間。 您可以基于該數據設置CC安全防護策略。具體操作,請參見設置CC安全防護。 |
攻擊源IP | 展示了發起異常連接次數最多的10個IP及IP所屬地區。單擊更多可以查看Top 100來源IP的信息。 說明 攻擊來源IP全部為攻擊IP,不包含正常請求IP。 如果您需要封禁某個IP的流量,可以單擊區域下方的防護設置,為被攻擊域名配置黑/白名單(針對域名)。具體操作,請參見設置黑白名單(針對域名)。 |
User-Agent | 展示了請求數最多的5條User-Agent。User-Agent即發起訪問請求的客戶端的瀏覽器標識、渲染引擎標識和版本信息等瀏覽器相關信息。 您可以基于該數據設置CC安全防護策略。具體操作,請參見設置CC安全防護。 |
Referer | 展示了訪問請求中最多的5條Referer信息。Referer即訪問請求的來源網址。 您可以基于該數據設置CC安全防護策略。具體操作,請參見設置CC安全防護。 |
HTTP-Method | 展示了訪問請求中最多的5條訪問請求方法信息。 您可以基于該數據設置CC安全防護策略。具體操作,請參見設置CC安全防護。 |
客戶端指紋 | 展示了訪問請求中最多的5條客戶端指紋信息。客戶端指紋即基于發起訪問請求的客戶端TLS指紋,通過阿里云自研算法識別和計算得出的客戶端指紋值,用于訪問請求的匹配和防護。 您可以基于該數據設置CC安全防護策略。具體操作,請參見設置CC安全防護。 |
HTTP2.0指紋 | 展示了訪問請求中最多的5條HTTP2.0指紋。用于HTTP2訪問請求的匹配和防護。 您可以基于該數據設置CC安全防護策略。具體操作,請參見設置CC安全防護。 |
連接型
您可以查看事件詳情并對DDoS高防實例進行針對性的防護配置。
支持查看的事件內容 | 說明 |
攻擊時間 | 被攻擊的時間。 |
攻擊目標 | 被攻擊的DDoS高防實例的IP及端口。 單擊攻擊目標后的防護設置,前往基礎設施DDoS防護頁簽,為被攻擊實例配置防護策略。具體操作,請參見基礎設施DDoS防護。 |
攻擊防護詳情 | 展示了攻擊期間,新建連接數和并發連接數的變化趨勢圖。您可以在該區域的右上角,設置要查詢的時間范圍。 新建連接數趨勢圖包含不同防護策略攔截的異常連接數據,例如,黑名單、區域封禁、源限速(具體分為源新建連接限速、源并發連接限速、源PPS限速、源帶寬限速)。關于以上防護策略的配置方法,請參見設置黑白名單(針對高防實例IP)、設置區域封禁、設置源限速。 并發連接數趨勢圖包含活躍連接數和非活躍連接數的數據。 |
攻擊來源IP | 展示了發起異常連接次數最多的5個IP及IP所屬地區。單擊更多可以查看Top 100攻擊來源IP的信息。 說明 攻擊來源IP全部為攻擊IP,不包含正常請求IP。 如果您需要封禁某個IP的流量,可以為被攻擊實例配置黑 / 白名單(針對高防實例IP)。具體操作,請參見設置黑白名單(針對高防實例IP)。 |
攻擊類型 | 展示了攻擊流量的協議類型分布。單擊更多可以查看不同攻擊類型的請求占比數據。 |
攻擊來源地區 | 展示了攻擊請求的來源地區分布。單擊更多可以查看不同來源地區的請求占比數據。 如果您需要封禁某個攻擊來源地區的流量,可以為被攻擊實例配置區域封禁。具體操作,請參見設置區域封禁。 |
流量型
您可以查看事件詳情并對DDoS高防實例進行針對性的防護配置。
支持查看的事件內容 | 說明 |
攻擊時間 | 被攻擊的時間。 |
攻擊目標 | 被攻擊的DDoS高防實例的IP。 單擊攻擊目標后的防護設置,前往基礎設施DDoS防護頁簽,為被攻擊實例配置防護策略。相關操作,請參見基礎設施DDoS防護。 |
攻擊防護詳情 | bps:攻擊期間,入方向、出方向流量和清洗流量的帶寬的變化趨勢圖。 pps:攻擊期間,入方向、出方向流量和清洗流量的報文的變化趨勢圖。 說明 當且時,產生告警事件。 |
來源IP | 展示了發起請求次數最多的10個IP及IP所屬地區。單擊更多可以查看Top 100來源IP的信息。 說明 來源IP包含攻擊IP和正常請求IP。 如果您需要封禁某個IP的流量,可以單擊列表下的黑名單設置,設置黑 / 白名單(針對高防實例IP)。具體操作,請參見設置黑白名單(針對高防實例IP)。 |
攻擊來源運營商 | 展示了攻擊流量的來源運營商分布。單擊更多可以查看不同運營商的請求占比數據。 說明 僅DDoS高防(中國內地)支持該數據,DDoS高防(國際)暫不支持該數據。 |
攻擊來源地區 | 展示了攻擊流量的來源地區分布。單擊更多可以查看不同來源地區的請求占比數據。 如果您需要封禁某個攻擊來源地區的流量,可以單擊區域下方的區域封禁設置,為被攻擊實例配置區域封禁。具體操作,請參見設置區域封禁。 |
攻擊類型 | 展示了攻擊流量的協議類型分布。單擊更多可以查看不同攻擊類型的請求占比數據。 |
目的端口 | 展示了被攻擊的端口的占比。單擊更多查看各端口的占比數據。 |