源限速允許您對源IP到DDoS高防執行個體連接埠的訪問頻率和流量大小進行限制。開啟源限速後,超出訪問限制的源IP將觸發請求限速或加入黑名單處理。源IP一旦被添加到黑名單,則所有來自該IP的訪問請求會被丟棄。本文介紹了設定源限速的具體操作。
前提條件
已在連接埠接入中配置非網站業務連接埠轉寄規則。更多資訊,請參見配置連接埠轉寄規則。背景資訊
DDoS高防支援對源IP到特定DDoS高防執行個體連接埠的訪問頻率進行限制,限制維度包括源建立和並發串連等,也支援對源IP到特定DDoS高防執行個體連接埠的流量大小進行限制,限制維度包括源頻寬(bps)和源報文數量(pps)。針對超過訪問頻率或流量閾值的源IP,DDoS高防對其進行限速和設定黑名單處理。上述功能適用於防護四層串連型CC攻擊,能夠起到快速壓制攻擊源的目的,效果明顯。
假設某個源IP訪問DDoS高防執行個體的8000連接埠,建立串連異常高,超出正常水平十多倍。您可以為高防執行個體的8000連接埠配置源建立串連限速,且開啟黑名單策略,將反覆超限的源IP自動添加成黑名單,丟棄源IP的訪問請求。
說明 源限速針對DDoS高防執行個體的具體連接埠生效。如果您需要對多個不同DDoS高防執行個體的連接埠開啟源限速,則需要對不同DDoS高防執行個體的連接埠分別設定。
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
- 在連接埠接入頁面,選擇要操作的DDoS高防執行個體。
- 定位到要操作的轉寄規則,單擊其DDoS防護策略列下的配置。
- 單擊源限速下的設定。
- 在源限速設定對話方塊,完成限速配置。
以下圖中配置為例,配置生效後,訪問該高防連接埠的源並發串連不能超過50000個/秒,超過的源IP將被限速。如果勾選源並發串連60秒內5次超限,將該源IP加入黑名單,則DDoS高防將統計每個超限源IP在1分鐘內的超限次數。如果大於5次,該源IP將被加入黑名單,所有來自該源IP的請求將被丟棄。
源建立串連限速、源PPS限速和源頻寬限速的使用方法同上。更多資訊,請參見設定DDoS防護策略。
- 單擊確定,使配置生效。