業務接入DDoS高防執行個體進行防護後,您可以查詢DDoS高防執行個體上發生的攻擊事件記錄和詳情,協助您瞭解攻擊來源IP、攻擊類型分布、攻擊來源地區分布等資訊,實現攻擊防護流程的透明化,提升防護分析體驗,還可以針對性地進行防護配置。本文介紹如何查詢攻擊事件。
攻擊事件類型
攻擊事件類型 | 說明 |
web資源耗盡型 | 攻擊方以業務網域名稱為攻擊目標,通過類比正常使用者請求,頻繁訪問Web服務中資源消耗較大的頁面,大量消耗伺服器資源,導致伺服器資源耗盡,無法響應正常業務請求。 如果多個業務網域名稱在同一時間遭受攻擊,則產生多個Web資源耗盡型攻擊事件。 |
串連型 | 攻擊方以業務連接埠為攻擊目標,通過非法佔用伺服器的TCP、UDP串連通道,大量消耗伺服器串連數資源,使伺服器無法處理新的串連請求,導致正常業務無法運行。 如果一個Anti-DDoS Pro下的多個業務連接埠在同一時間遭受攻擊,則產生多個串連型攻擊事件。 |
流量型 | 攻擊方以Anti-DDoS Pro為攻擊目標,通常利用大量傀儡機同時發起大量業務請求,通過大流量壓垮網路裝置和伺服器,導致頻寬擁塞,服務無法響應。 如果多個Anti-DDoS Pro在同一時間遭受攻擊,則產生多個流量型攻擊事件。 說明 為避免事件太多對您的業務造成幹擾,所以高防預設策略為入流量大於1Gbps,且產生100Mbps的丟棄流量時才會產生攻擊事件。入流量小於預設策略,則不產生事件。但考慮到您可能業務流量較小,所以提供自訂配置警示閾值,您可在安全總覽頁面單擊設定警示閾值地區自行配置。通過配置警示閾值可以解決您在控制台上看到有清洗流量但沒有攻擊事件的問題。 |
前提條件
已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體。
查詢攻擊事件記錄
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在攻擊分析頁面,選擇要查詢的攻擊事件類型及事件範圍,查詢相關的攻擊記錄。
說明最多允許查詢最近180天內的攻擊事件。
(可選)單擊操作列的查看詳情,查看攻擊事件詳情。
您可以在事件詳情頁面的右上方,單擊导出报表並選擇导出图片、导出pdf,將當前事件詳情頁面另存新檔本地檔案(PNG格式、PDF格式)。
如果您對某個攻擊事件的防護效果有任何建議或疑問,可以通過單擊事件操作列下的效果反饋向我們反饋,我們會根據您的寶貴意見持續最佳化和改進防護效果。
攻擊事件詳情介紹
Web資源耗盡型
您可以查看事件詳情並對網域名稱進行針對性的防護配置。
支援查看的事件內容 | 說明 |
攻擊事件基本資料 |
|
攻擊防護詳情 | 入方向總QPS和觸發不同模組下防護策略的QPS的變化趨勢圖,以及觸發的防護策略的策略生效時間和攔截次數資訊。您也可以在該地區的右上方,設定要查詢的時間範圍。 網站業務防護模組包括黑名單、地區封鎖、頻率控制、精準存取控制、其他(例如人機校正失敗等)。關於不同防護模組的配置方法,請參見網站業務DDoS防護。 |
防护模块过滤分布 | 展示了不同防護模組攔截的攻擊請求的數量分布。 您可以單擊地區下方的防護設定,為不同防護模組配置防護策略。關於不同防護模組的配置方法,請參見網站業務DDoS防護。 |
Top10攻防策略 | 展示了被叫用次數最多的10條防護策略及其佔比。單擊更多可以查看Top 100攻防策略及不同策略的佔比。 您可以單擊地區下方的防護設定,為不同防護模組配置防護策略。關於不同防護模組的配置方法,請參見網站業務DDoS防護。 |
來源地區 | 展示了攻擊請求的來源地區分布,支援查看全球分布(國家維度)、中國內地分布(省市區維度)。單擊更多可以查看不同來源地區的請求佔比資料。 如果您需要封鎖某個攻擊來源地區的流量,可以單擊地區下方的防護設定,為被攻擊網域名稱配置地區封鎖。具體操作,請參見設定地區封鎖(針對網域名稱)。 |
URL | 展示了被請求次數最多的5條URL。按照被請求次數由高到低排序。單擊更多查看所有被請求的URL(即URI和所屬網域名稱)及不同URL的佔比。 如果您需要針對具體URI配置訪問限速策略,可以單擊地區下方的防護設定,為被攻擊網域名稱配置頻率控制。具體操作,請參見設定頻率控制。 |
URI回應時間 | 展示了URI回應時間最長的5個URI。URI回應時間是指從用戶端發出請求擷取特定URI代表的資源,到接收完服務端響應並處理完畢的總時間。 您可以基於該資料設定CC安全防護策略。具體操作,請參見設定CC安全防護。 |
攻擊源IP | 展示了發起異常串連次數最多的10個IP及IP所屬地區。單擊更多可以查看Top 100來源IP的資訊。 說明 攻擊來源IP全部為攻擊IP,不包含正常請求IP。 如果您需要封鎖某個IP的流量,可以單擊地區下方的防護設定,為被攻擊網域名稱配置黑/白名單。具體操作,請參見設定黑白名單(針對網域名稱)。 |
User-Agent | 展示了請求數最多的5條User-Agent。User-Agent即發起訪問請求的用戶端的瀏覽器標識、渲染引擎標識和版本資訊等瀏覽器相關資訊。 您可以基於該資料設定CC安全防護策略。具體操作,請參見設定CC安全防護。 |
Referer | 展示了訪問請求中最多的5條Referer資訊。Referer即訪問請求的來源網址。 您可以基於該資料設定CC安全防護策略。具體操作,請參見設定CC安全防護。 |
HTTP-Method | 展示了訪問請求中最多的5條訪問要求方法資訊。 您可以基於該資料設定CC安全防護策略。具體操作,請參見設定CC安全防護。 |
用戶端指紋 | 展示了訪問請求中最多的5條用戶端指紋資訊。用戶端指紋即基於發起訪問請求的用戶端TLS指紋,通過阿里雲自研演算法識別和計算得出的用戶端指紋值,用於訪問請求的匹配和防護。 您可以基於該資料設定CC安全防護策略。具體操作,請參見設定CC安全防護。 |
HTTP2.0指紋 | 展示了訪問請求中最多的5條HTTP2.0指紋。用於HTTP2訪問請求的匹配和防護。 您可以基於該資料設定CC安全防護策略。具體操作,請參見設定CC安全防護。 |
串連型
您可以查看事件詳情並對DDoS高防執行個體進行針對性的防護配置。
支援查看的事件內容 | 說明 |
攻擊時間 | 被攻擊的時間。 |
攻擊目標 | 被攻擊的DDoS高防執行個體的IP及連接埠。 單擊攻擊目標後的防護設定,前往基礎設施DDoS防護頁簽,為被攻擊執行個體配置防護策略。具體操作,請參見基礎設施DDoS防護。 |
攻擊防護詳情 | 展示了攻擊期間,新建串連數和並發串連數的變化趨勢圖。您可以在該地區的右上方,設定要查詢的時間範圍。 建立串連數趨勢圖包含不同防護策略攔截的異常串連資料,例如,黑名單、地區封鎖、源限速(具體分為源建立串連限速、源並發串連限速、源PPS限速、源頻寬限速)。關於以上防護策略的配置方法,請參見設定黑白名單(針對高防執行個體IP)、設定地區封鎖、設定源限速。 並發串連數趨勢圖包含活躍串連數和非活躍串連數的資料。 |
攻擊來源IP | 展示了發起異常串連次數最多的5個IP及IP所屬地區。單擊更多可以查看Top 100攻擊來源IP的資訊。 說明 攻擊來源IP全部為攻擊IP,不包含正常請求IP。 如果您需要封鎖某個IP的流量,可以為被攻擊執行個體配置黑 / 白名單(針對高防執行個體IP)。具體操作,請參見設定黑白名單(針對高防執行個體IP)。 |
攻擊類型 | 展示了攻擊流量的協議類型分布。單擊更多可以查看不同攻擊類型的請求佔比資料。 |
攻擊來源地區 | 展示了攻擊請求的來源地區分布。單擊更多可以查看不同來源地區的請求佔比資料。 如果您需要封鎖某個攻擊來源地區的流量,可以為被攻擊執行個體配置地區封鎖。具體操作,請參見設定地區封鎖。 |
流量型
您可以查看事件詳情並對DDoS高防執行個體進行針對性的防護配置。
支援查看的事件內容 | 說明 |
攻擊時間 | 被攻擊的時間。 |
攻擊目標 | 被攻擊的DDoS高防執行個體的IP。 單擊攻擊目標後的防護設定,前往基礎設施DDoS防護頁簽,為被攻擊執行個體配置防護策略。相關操作,請參見基礎設施DDoS防護。 |
攻擊防護詳情 | bps:攻擊期間,入方向、出方向流量和清洗流量的頻寬的變化趨勢圖。 pps:攻擊期間,入方向、出方向流量和清洗流量的報文的變化趨勢圖。 說明 當且時,產生警示事件。 |
攻擊來源IP | 展示了發起請求次數最多的10個IP及IP所屬地區。單擊更多可以查看Top 100來源IP的資訊。 說明 來源IP包含攻擊IP和正常請求IP。 如果您需要封鎖某個IP的流量,可以單擊列表下的黑名單設定,設定黑 / 白名單(針對高防執行個體IP)。具體操作,請參見設定黑白名單(針對高防執行個體IP)。 |
攻擊來源電訊廠商 | 展示了攻擊流量的來源電訊廠商分布。單擊更多可以查看不同電訊廠商的請求佔比資料。 說明 僅DDoS高防(中國內地)支援該資料,DDoS高防(國際)暫不支援該資料。 |
攻擊來源地區 | 展示了攻擊流量的來源地區分布。單擊更多可以查看不同來源地區的請求佔比資料。 如果您需要封鎖某個攻擊來源地區的流量,可以單擊地區下方的地區封鎖設定,為被攻擊執行個體配置地區封鎖。具體操作,請參見設定地區封鎖。 |
攻擊類型 | 展示了攻擊流量的協議類型分布。單擊更多可以查看不同攻擊類型的請求佔比資料。 |
目的端口 | 展示了被攻擊的連接埠的佔比。單擊更多查看各連接埠的佔比資料。 |