全部產品
Search
文件中心

Anti-DDoS:設定DDoS防護策略

更新時間:Jun 30, 2024

DDoS高防提供針對網路四層DDoS攻擊的防護原則設定功能,例如虛假源和空串連檢測、源限速、目的限速,適用於最佳化調整非網站業務的DDoS防護策略。在DDoS高防執行個體下添加連接埠轉寄規則,接入非網站業務後,您可以單獨設定某個連接埠的DDoS防護策略或大量新增DDoS防護策略。本文介紹了具體的操作方法。

前提條件

已在連接埠接入中配置非網站業務連接埠轉寄規則。更多資訊,請參見配置連接埠轉寄規則

功能介紹

非網站業務的DDoS防護策略是基於“IP地址+連接埠”層級的防護,對於已接入DDoS高防執行個體的非網站業務的“IP+連接埠”的連線速度、包長度等參數進行限制,實現緩解小流量的串連型攻擊的防護能力。DDoS防護策略配置針對連接埠層級生效。

DDoS高防為已接入的非網站業務提供以下DDoS防護策略。

  • 虛假源:針對虛假IP發起的DDoS攻擊進行校正過濾。

  • 目的限速:以當前高防IP、連接埠為統計對象,當每秒訪問頻率超出閾值時,對當前高防IP的連接埠進行限速,其餘連接埠不受限速影響。

  • 包長度過濾:設定允許通過的包最小和最大長度,小於最小長度或者大於最大長度的包會被丟棄。

  • 源限速:以當前高防IP、連接埠為統計對象,對訪問頻率超出閾值的源IP地址進行限速。訪問速率未超出閾值的源IP地址,訪問不受影響。源限速支援黑名單控制,對於60秒內5次超限的源IP,您可以開啟將源IP加入黑名單的策略,並設定黑名單的有效時間長度。

  • 進階攻擊防護:針對基於Mirai等殭屍網路建立TCP三向交握後,短時間內發送海量異常報文的DDoS攻擊行為進行識別和攔截。

設定單條DDoS防護策略

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇防護設定 > 通用防護策略

  4. 通用防護策略頁面,單擊非網站業務DDoS防護頁簽,並在頁面上方選擇要設定的DDoS高防執行個體。

  5. 從左側轉寄規則列表中單擊要設定的轉寄規則。

  6. 為指定的轉寄規則設定虛假源目的限速包長度過濾源限速

    • 虛假源:在虛假源下開啟或關閉虛假源空串連開關。

      參數

      描述

      虛假源

      虛假源地址攻擊防護開關。開啟後將自動過濾虛假源IP地址的串連請求。

      說明

      僅適用於TCP協議規則。

      空串連

      空串連防護開關。開啟後將自動過濾空串連請求。

      說明

      僅適用於TCP協議規則,且要開啟空串連,必須先開啟虛假源。

    • 進階攻擊防護:在進階攻擊防護下開啟或關閉功能開關,並支援您選擇對應的防護等級,預設推薦為正常模式。

      說明
      • 僅適用於TCP協議規則。

      • 開啟進階攻擊防護,必須先開啟虛假源。

      防護等級

      防護效果

      應用情境

      寬鬆

      對有明顯攻擊特徵的請求進行攔截,可能存在少量漏過,但誤殺率極低。

      適合於直播、流媒體、下載等具備單向大量傳輸的業務或者來源站點頻寬較大的業務。

      正常(推薦)

      一般情況下,不會對正常業務造成影響,能夠充分平衡防護效果和誤殺率,建議您在一般情況下選擇該等級。

      適用於絕大多數業務情境。

      嚴格

      對惡意攻擊進行嚴格校正,但可能存在一定誤殺。

      適合來源站點頻寬較小或防護效果不佳的情境。

    • 源限速:單擊源限速下的設定,完成以下配置,並單擊確定

      參數

      描述

      源新建串連限速

      限制單一源IP的每秒建立串連數量,取值範圍:1~50000(個)。超過限制的建立串連將被丟棄。

      • 自動:系統將動態自動計算源建立串連限速閾值,無需手動設定。

      • 手動:需要手動設定源建立串連限速閾值。

      說明

      由於防護裝置為叢集化部署,建立串連限速存在一定誤差。

      黑名單策略 :

      • 支援源新建串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。

      • 開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。

      源並發串連限速

      限制單一源IP的並發串連數量,取值範圍:1~50000(個)。超過限制的並發串連將被丟棄。

      黑名單策略:

      • 支援源並發串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。

      • 開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。

      源PPS限速

      限制單一源IP的包轉寄數量,取值範圍:1~100000(Packet/s)。超過限制的資料包將被丟棄。

      黑名單策略 :

      • 支援源PPS串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。

      • 開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。

      源帶寬限速

      限制單一源IP的源請求頻寬,取值範圍:1024~268435456(Byte/s)。

      黑名單策略:

      • 支援源頻寬串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。

      • 開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。

    • 目的限速:單擊目的限速下的設定,完成以下配置,並單擊確定

      參數

      描述

      目的新建串連限速

      限制高防IP連接埠每秒最大建立串連數,取值範圍:100~100000(個)。超過限制的建立串連將被丟棄。

      說明

      由於防護裝置為叢集化部署,建立串連限速存在一定誤差。

      目的並發串連限速

      限制高防IP連接埠的最大並發串連數量,取值範圍:1000~1000000(個)。超過限制的並發串連將被丟棄。

    • 包長度過濾:單擊包長度過濾下的設定,設定允許通過高防IP連接埠的報文所含payload的最小和最大長度,取值範圍:0~6000(Byte),並單擊確定

大量新增DDoS防護策略

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 連接埠接入

  4. 連接埠接入頁面,選擇DDoS高防執行個體,並單擊規則列表下方的大量操作 > 添加DDoS防護策略

  5. 添加DDoS防護策略對話方塊,按照格式要求輸入要添加的防護策略內容,並單擊確定。

    說明

    您也可以先大量匯出當前DDoS防護策略,在匯出的txt檔案中統一調整後再將內容複寫粘貼進來。匯出檔案中的DDoS防護策略格式和大量新增DDoS防護策略的格式要求一致。更多資訊,請參見大量匯出

    • 每行對應一條轉寄規則的DDoS防護策略。

    • 每條DDoS防護策略從左至右包含以下欄位:轉寄協議連接埠、轉寄協議(tcp、udp)、源建立串連限速、源並發串連限速、目的建立串連限速、目的並發串連限速、包長度最小值、包長度最大值、虛假源開關、空串連開關。欄位間以空格分隔。

    • 轉寄協議連接埠必須是已配置轉寄規則的連接埠。

    • 虛假源開關和空串連開關的取值是:on、off。若為空白則表示關閉(即off)。