DDoS高防提供針對網路四層DDoS攻擊的防護原則設定功能,例如虛假源和空串連檢測、源限速、目的限速,適用於最佳化調整非網站業務的DDoS防護策略。在DDoS高防執行個體下添加連接埠轉寄規則,接入非網站業務後,您可以單獨設定某個連接埠的DDoS防護策略或大量新增DDoS防護策略。本文介紹了具體的操作方法。
前提條件
已在連接埠接入中配置非網站業務連接埠轉寄規則。更多資訊,請參見配置連接埠轉寄規則。
功能介紹
非網站業務的DDoS防護策略是基於“IP地址+連接埠”層級的防護,對於已接入DDoS高防執行個體的非網站業務的“IP+連接埠”的連線速度、包長度等參數進行限制,實現緩解小流量的串連型攻擊的防護能力。DDoS防護策略配置針對連接埠層級生效。
DDoS高防為已接入的非網站業務提供以下DDoS防護策略。
虛假源:針對虛假IP發起的DDoS攻擊進行校正過濾。
目的限速:以當前高防IP、連接埠為統計對象,當每秒訪問頻率超出閾值時,對當前高防IP的連接埠進行限速,其餘連接埠不受限速影響。
包長度過濾:設定允許通過的包最小和最大長度,小於最小長度或者大於最大長度的包會被丟棄。
源限速:以當前高防IP、連接埠為統計對象,對訪問頻率超出閾值的源IP地址進行限速。訪問速率未超出閾值的源IP地址,訪問不受影響。源限速支援黑名單控制,對於60秒內5次超限的源IP,您可以開啟將源IP加入黑名單的策略,並設定黑名單的有效時間長度。
進階攻擊防護:針對基於Mirai等殭屍網路建立TCP三向交握後,短時間內發送海量異常報文的DDoS攻擊行為進行識別和攔截。
設定單條DDoS防護策略
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在通用防護策略頁面,單擊非網站業務DDoS防護頁簽,並在頁面上方選擇要設定的DDoS高防執行個體。
從左側轉寄規則列表中單擊要設定的轉寄規則。
為指定的轉寄規則設定虛假源、目的限速、包長度過濾、源限速。
虛假源:在虛假源下開啟或關閉虛假源和空串連開關。
參數
描述
虛假源
虛假源地址攻擊防護開關。開啟後將自動過濾虛假源IP地址的串連請求。
說明僅適用於TCP協議規則。
空串連
空串連防護開關。開啟後將自動過濾空串連請求。
說明僅適用於TCP協議規則,且要開啟空串連,必須先開啟虛假源。
進階攻擊防護:在進階攻擊防護下開啟或關閉功能開關,並支援您選擇對應的防護等級,預設推薦為正常模式。
說明僅適用於TCP協議規則。
開啟進階攻擊防護,必須先開啟虛假源。
防護等級
防護效果
應用情境
寬鬆
對有明顯攻擊特徵的請求進行攔截,可能存在少量漏過,但誤殺率極低。
適合於直播、流媒體、下載等具備單向大量傳輸的業務或者來源站點頻寬較大的業務。
正常(推薦)
一般情況下,不會對正常業務造成影響,能夠充分平衡防護效果和誤殺率,建議您在一般情況下選擇該等級。
適用於絕大多數業務情境。
嚴格
對惡意攻擊進行嚴格校正,但可能存在一定誤殺。
適合來源站點頻寬較小或防護效果不佳的情境。
源限速:單擊源限速下的設定,完成以下配置,並單擊確定。
參數
描述
源新建串連限速
限制單一源IP的每秒建立串連數量,取值範圍:1~50000(個)。超過限制的建立串連將被丟棄。
自動:系統將動態自動計算源建立串連限速閾值,無需手動設定。
手動:需要手動設定源建立串連限速閾值。
說明由於防護裝置為叢集化部署,建立串連限速存在一定誤差。
黑名單策略 :
支援源新建串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
源並發串連限速
限制單一源IP的並發串連數量,取值範圍:1~50000(個)。超過限制的並發串連將被丟棄。
黑名單策略:
支援源並發串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
源PPS限速
限制單一源IP的包轉寄數量,取值範圍:1~100000(Packet/s)。超過限制的資料包將被丟棄。
黑名單策略 :
支援源PPS串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
源帶寬限速
限制單一源IP的源請求頻寬,取值範圍:1024~268435456(Byte/s)。
黑名單策略:
支援源頻寬串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
目的限速:單擊目的限速下的設定,完成以下配置,並單擊確定。
參數
描述
目的新建串連限速
限制高防IP連接埠每秒最大建立串連數,取值範圍:100~100000(個)。超過限制的建立串連將被丟棄。
說明由於防護裝置為叢集化部署,建立串連限速存在一定誤差。
目的並發串連限速
限制高防IP連接埠的最大並發串連數量,取值範圍:1000~1000000(個)。超過限制的並發串連將被丟棄。
包長度過濾:單擊包長度過濾下的設定,設定允許通過高防IP連接埠的報文所含payload的最小和最大長度,取值範圍:0~6000(Byte),並單擊確定。
大量新增DDoS防護策略
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在連接埠接入頁面,選擇DDoS高防執行個體,並單擊規則列表下方的。
在添加DDoS防護策略對話方塊,按照格式要求輸入要添加的防護策略內容,並單擊確定。
說明您也可以先大量匯出當前DDoS防護策略,在匯出的txt檔案中統一調整後再將內容複寫粘貼進來。匯出檔案中的DDoS防護策略格式和大量新增DDoS防護策略的格式要求一致。更多資訊,請參見大量匯出。
每行對應一條轉寄規則的DDoS防護策略。
每條DDoS防護策略從左至右包含以下欄位:轉寄協議連接埠、轉寄協議(tcp、udp)、源建立串連限速、源並發串連限速、目的建立串連限速、目的並發串連限速、包長度最小值、包長度最大值、虛假源開關、空串連開關。欄位間以空格分隔。
轉寄協議連接埠必須是已配置轉寄規則的連接埠。
虛假源開關和空串連開關的取值是:on、off。若為空白則表示關閉(即off)。