全部產品
Search
文件中心

Anti-DDoS:設定DDoS基礎防護和原生防護攻擊事件警示

更新時間:Jun 30, 2024

通過事件警示您能夠獲知業務遭受的DDoS攻擊事件,及時發現並修複問題,縮短故障處理時間,以便儘快恢複業務。本文介紹如何設定DDoS基礎防護和原生防護攻擊事件的警示通知。

警示方式說明

阿里雲DDoS原生防護提供訊息中心警示、CloudMonitor警示和日誌分析服務警示,您可以通過多個維度對比選擇合適的警示方案。

對比項

訊息中心警示

CloudMonitor警示

日誌分析服務警示

支援的產品類型

DDoS基礎防護

DDoS原生防護

DDoS原生防護

DDoS原生防護

使用情境

通用警示,僅需要知曉被攻擊。

通用警示,僅需要知曉被攻擊。

通用警示,通過簡單過濾條件,過濾需要通知的重時間點事件。

企業級警示,支援自訂群組合條件、警示方式、通知方式、通知內容,並基於過濾條件產生統計報表。

配置複雜度

簡易

簡易

適中

複雜

靈活性

支援在事件開始、結束時警示。

支援在事件開始、結束時警示。

支援在事件開始、結束時按過濾的重時間點事件警示。

支援在事件開始、結束時警示,按流量閾值警示,多種條件組合警示。

通知方式

郵件

郵件

  • 簡訊

  • 郵件

  • 語音

  • Webhook

  • 簡訊

  • 郵件

  • 語音

  • Webhook

可靠性與即時性

不完全保證可靠性與即時性,可能在系統並發請求極高時訊息限流。

說明

建議您自建流量監控體系。比如針對IP地址,進行流量監控(突增突降)或者外部探測可用性用於輔助判斷。

可靠性較高,警示時差一般為5分鐘以內。

可靠性較高,警示時差為5~10分鐘。

可靠性較高,警示時差為5~10分鐘。

配置訊息中心警示(DDoS基礎防護、DDoS原生防護)

訊息中心是阿里雲帳號提供的訊息通知服務,支援配置與阿里雲服務相關的各類訊息通知。

  1. 登入訊息中心控制台

  2. 基本接收管理版面設定郵箱通知。

    1. 在左側導覽列單擊訊息接收管理 > 基本接收管理

    2. 基本接收管理頁面,選中產品訊息下的Apsara Stack Security安全語音總機,並根據需要選擇郵箱

    3. 在頁面下方單擊添加訊息接收人,然後在修改訊息接收人對話方塊,添加訊息接收人,並單擊儲存

配置CloudMonitor警示(DDoS原生防護)

CloudMonitor (CloudMonitor)是一項針對阿里雲資源和互連網應用進行監控的服務。CloudMonitor支援監控DDoS原生防護執行個體上的黑洞事件和清洗事件,事件發生時,阿里雲將向警示通知連絡人群組中設定的連絡人發送警示通知。

  1. 登入CloudMonitor控制台
  2. 建立警示連絡人。如果已有連絡人,請跳過此步驟。

    1. 在左側導覽列,選擇警示服務 > 警示連絡人

    2. 警示連絡人頁簽單擊建立連絡人,然後在設定警示連絡人面板,填寫連絡人資訊並完成滑塊驗證後,單擊確認

  3. 建立警示連絡人群組。如果已有連絡人群組,請跳過此步驟。

    說明

    警示通知的接收對象必須是連絡人群組,您可以在連絡人群組中添加一個或多個連絡人。

    1. 在左側導覽列,選擇警示服務 > 警示連絡人

    2. 警示聯絡組頁簽單擊建立連絡人群組,然後在建立聯絡組面板,填寫相關資訊並選擇連絡人後,單擊確認

  4. 在左側導覽列,選擇事件中心 > 系統事件,單擊另存新檔警示

  5. 建立/修改事件警示面板,完成警示配置,並單擊確定

    類型

    配置項

    說明

    基本資料

    警示規則名稱

    自訂警示規則名稱。

    事件警示規則

    產品類型

    選擇DDoS原生防護

    事件類型

    要通知的事件類型,可選項:DDoS攻擊

    事件等級

    選擇要通知的事件等級。所有DDoS警示時間均為嚴重等級,該參數僅支援選擇嚴重

    事件名稱

    選擇要通知的事件。可選項:黑洞清洗

    關鍵詞過濾

    關鍵詞文字框輸入警示規則過濾的關鍵詞,然後在條件下拉框選擇過濾方式。取值:

    • 滿足包含上面任何一個關鍵詞:當您的警示規則中包含任何一個關鍵詞時,不發送警示通知。

    • 滿足不包含上面任何一個關鍵詞:當您的警示規則中不包含任何一個關鍵詞時,不發送警示通知。

    SQL Filter

    SQL過濾語句。

    資源範圍

    事件警示規則作用的資源範圍。選擇全部資源

    • 全部資源:任何資源發生相關事件,都會按照配置發送通知。

    • 應用分組:只有指定應用分組內的資源發生相關事件,才會發送通知。

    警示方式

    連絡人群組

    選擇發送警示的連絡人群組。

    警示通知

    事件警示的層級和通知方式。取值:

    • Critical(郵件+WebHook)

    • Warning(郵件+WebHook)

    • Info(郵件+WebHook)

    Message Service隊列Function ComputeURL回調Log Service

    無需設定。

    通道沉默周期

    警示發生後未恢複正常,間隔多久重複發送一次警示通知。

日誌分析服務警示(DDoS原生防護)

您為DDoS原生防護開啟防護日誌後,即可使DDoS原生防護採集防護對象的業務流量及防護日誌,供您進行查詢與分析。您可以在查詢與分析日誌的基礎上,通過條件組合等方式對需要關注的業務指標自訂警示規則,使DDoS原生防護在業務指標異常時,及時向您發送警示。

  1. 登入流量安全產品控制台

  2. 在左側導覽列,選擇網絡安全 > DDoS原生防護 > 防護日誌

  3. 在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。

    • 原生防護1.0(訂用帳戶)執行個體:請選擇執行個體所在地區。

    • 原生防護2.0(訂用帳戶)執行個體、原生防護2.0(後付費)執行個體:請選擇全球。

  4. 按照頁面提示開通SLSLog Service並完成RAM授權。如果您之前已完成開通和授權操作,請跳過本步驟。

  5. 為執行個體開啟防護日誌功能。如果您之前已開啟,請跳過本步驟。

    1. 防護日誌頁面,選擇目標執行個體,單擊立即升級

    2. 變更配置版面設定防護日誌開啟,仔細閱讀並勾選服務合約

    3. 單擊立即購買後,單擊訂購為執行個體開啟防護日誌功能。

  6. 為執行個體建立日誌警示監控。

    1. 防護日誌頁面,選擇目標執行個體,單擊頁面右上方image表徵圖。

    2. 單擊新版警示,並在警示監控規則頁簽完成配置項設定。

      配置項

      說明

      規則名稱

      自訂警示監控規則名稱。

      檢查頻率

      根據您配置的頻率對查詢和分析結果進行檢查。

      • 每小時:每小時檢查一次查詢和分析結果。

      • 每天:在每天的某個固定時間點檢查一次查詢和分析結果。

      • 每周:在周幾的某個固定時間點檢查一次查詢和分析結果。

      • 固定間隔:按照固定間隔檢查查詢和分析結果。

      • Cron:通過Cron運算式指定時間間隔,按照該指定的時間間隔檢查查詢和分析結果。Cron運算式的最小精度為分鐘,24小時制,例如0 0/1 * * *表示從00:00開始,每隔1小時檢查一次。

      查詢統計

      單擊輸入框,在查詢統計對話方塊中,設定查詢和分析語句。

      • 關聯報表:選擇DDoS原生防護事件報表DDoS原生清洗分析報表

      • 進階配置:無需修改,預設選擇日誌庫

      分組評估

      Log Service支援對查詢和分析結果進行分組。更多資訊,請參見分組評估

      • 不分組:在每個檢查周期內,滿足觸發條件時,只產生一條警示。

      • 標籤自訂:Log Service根據您配置的欄位對查詢和分析結果進行分組。分組後,每個組單獨評估觸發條件。在每個檢查周期內,查詢和分析結果滿足觸發條件時,各個分組各自產生一條警示。

      觸發條件

      警示的觸發條件及嚴重度。

      • 觸發條件

        • 有資料:當查詢和分析結果中存在資料時,觸發警示。

        • 有特定條資料:當查詢和分析結果中存在N條資料時,觸發警示。

        • 有資料匹配:當查詢和分析結果中存在資料滿足警示運算式時,觸發警示。

        • 有特定條資料匹配:當查詢和分析結果中存在N條資料滿足警示運算式時,觸發警示。

      • 嚴重度:您可以將某一規則產生的警示設定為同一嚴重度,也可以將同一規則滿足不同條件時,單擊添加設定為不同的嚴重度。

      添加標籤

      Log Service允許您給產生的警示添加標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標籤的判斷條件。更多資訊,請參見標籤和標註

      添加標註

      Log Service允許您給產生的警示添加非標識性屬性,索引值對格式。主要用於警示降噪控制和警示通知控制,即您在建立警示策略或行動策略時,可添加關於標註的判斷條件。更多資訊,請參見標籤和標註

      您還可以開啟自動添加標註開關,系統自動在警示中添加__count__等資訊。更多資訊,請參見自動標註

      恢複通知

      開啟恢複通知開關後,警示恢複時,觸發一條恢複警示。其嚴重度與觸發的警示保持一致。

      進階配置

      • 連續觸發閾值:當累計的觸發次數達到該值時,產生一條警示。不滿足觸發條件時不計入統計。

      • 無資料警示:開關開啟後,如果查詢和分析的結果(有多個時,進行集合操作後的結果)為無資料的次數超過連續觸發閾值,則產生一條警示。更多資訊,請參見無資料警示

      警示策略

      警示策略用於合并、靜默和抑制已產生的警示。

      • 選擇極簡模式普通模式時,您無需配置警示策略。Log Service預設使用SLS內建動態警示策略(sls.builtin.dynamic)進行警示管理。

      • 選擇進階模式時,您可以選擇內建的或自訂的警示策略進行警示管理。如何建立警示策略,請參見建立警示策略

      行動組

      將警示集合按配置,通過各個渠道在發送時間符合時,以內容範本發送給接收人。

      警示策略選擇極簡模式時,您需要配置

      僅當警示策略選擇極簡模式時需要配置該參數。

      您也可以開啟開啟智能合并開關,用於將重複、冗餘、相關聯的警示合并為一組,每個分組中的警示在一段時間內只會通知一次,達到警示降噪的效果。更多資訊,請參見警示智能分組合并

      行動策略

      行動策略用於控制警示通知渠道和頻率等。

      警示策略選擇為普通模式進階模式時,您可以選擇內建的或自訂的行動策略進行警示通知。如何建立行動策略,請參見建立行動策略

      其中,警示策略選擇為進階模式時,還可以開啟或關閉自訂行動策略。更多資訊,請參見動態行動策略機制

      重複等待

      在重複等待時間內,重複的警示只觸發一次行動策略,即只發送一次警示通知。