全部产品
Search
文档中心

DDoS 防护:攻击分析

更新时间:Aug 01, 2024

业务接入DDoS高防实例进行防护后,您可以查询DDoS高防实例上发生的攻击事件记录和详情,帮助您了解攻击来源IP、攻击类型分布、攻击来源地区分布等信息,实现攻击防护流程的透明化,提升防护分析体验,还可以针对性地进行防护配置。本文介绍如何查询攻击事件。

攻击事件类型

攻击事件类型

说明

web资源耗尽型

攻击方以业务域名为攻击目标,通过模拟正常用户请求,频繁访问Web服务中资源消耗较大的页面,大量消耗服务器资源,导致服务器资源耗尽,无法响应正常业务请求。

如果多个业务域名在同一时间遭受攻击,则产生多个Web资源耗尽型攻击事件。

连接型

攻击方以业务端口为攻击目标,通过非法占用服务器的TCP、UDP连接通道,大量消耗服务器连接数资源,使服务器无法处理新的连接请求,导致正常业务无法运行。

如果一个DDoS高防IP下的多个业务端口在同一时间遭受攻击,则产生多个连接型攻击事件。

流量型

攻击方以DDoS高防IP为攻击目标,通常利用大量傀儡机同时发起大量业务请求,通过大流量压垮网络设备和服务器,导致带宽拥塞,服务无法响应。

如果多个DDoS高防IP在同一时间遭受攻击,则产生多个流量型攻击事件。

说明

为避免事件太多对您的业务造成干扰,所以高防默认策略为入流量大于1Gbps,且产生100Mbps的丢弃流量时才会生成攻击事件。入流量小于默认策略,则不产生事件。但考虑到您可能业务流量较小,所以提供自定义配置告警阈值,您可在安全总览页面单击设置告警阈值区域自行配置。通过配置告警阈值可以解决您在控制台上看到有清洗流量但没有攻击事件的问题。

前提条件

查询攻击事件记录

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择调查分析 > 攻击分析

  4. 攻击分析页面,选择要查询的攻击事件类型及事件范围,查询相关的攻击记录。

    说明

    最多允许查询最近180天内的攻击事件。

  5. (可选)单击操作列的查看详情,查看攻击事件详情。

    您可以在事件详情页面的右上角,单击导出报表并选择导出图片导出pdf,将当前事件详情页面另存为本地文件(PNG格式、PDF格式)。

如果您对某个攻击事件的防护效果有任何建议或疑问,可以通过单击事件操作列下的效果反馈向我们反馈,我们会根据您的宝贵意见持续优化和改进防护效果。

攻击事件详情介绍

Web资源耗尽型

您可以查看事件详情并对域名进行针对性的防护配置。

支持查看的事件内容

说明

攻击事件基本信息

  • 攻击时间:遭受攻击的时间。

  • 攻击目标:遭受攻击的域名。

    单击攻击目标后的防护设置,前往网站业务DDoS防护页签,为被攻击域名配置防护策略。具体操作,请参见网站业务DDoS防护

  • 请求数峰值:遭受攻击期间,请求数的峰值。

  • 总接收请求数:统计遭受攻击前后一段时间内,总的请求数。统计时间范围遵循如下逻辑:

    • 开始时间:请取DDoS攻击实际开始时间,最邻近的上一个整点或半点时刻,并从该时刻起向前再推算半小时。

      例如,如果攻击开始于11:20,最近的整点或半点时间是11:00,再向前推半小时即为10:30。如果攻击开始于11:40,最近的整点或半点时间是11:30,再向前推半小时即为11:00。

    • 结束时间:请取DDoS攻击实际结束时间,最邻近的下一个整点或半点时刻,并从该时刻起向后再推算半小时。

      例如,如果攻击结束于12:20,最近的整点或半点时间是12:30,再向后推半小时即为13:00。如果攻击结束于12:40,最近的整点或半点时间是13:00,再向后推半小时即为13:30。

  • 总拦截请求数:本次攻击事件,DDoS高防拦截的请求数。

攻击防护详情

入方向总QPS和触发不同模块下防护策略的QPS的变化趋势图,以及触发的防护策略的策略生效时间拦截次数信息。您也可以在该区域的右上角,设置要查询的时间范围。

网站业务防护模块包括黑名单区域封禁频率控制精准访问控制其他(例如人机校验失败等)。关于不同防护模块的配置方法,请参见网站业务DDoS防护

防护模块过滤分布

展示了不同防护模块拦截的攻击请求的数量分布。

您可以单击区域下方的防护设置,为不同防护模块配置防护策略。关于不同防护模块的配置方法,请参见网站业务DDoS防护

Top10攻防策略

展示了被命中次数最多的10条防护策略及其占比。单击更多可以查看Top 100攻防策略及不同策略的占比。

您可以单击区域下方的防护设置,为不同防护模块配置防护策略。关于不同防护模块的配置方法,请参见网站业务DDoS防护

来源地区

展示了攻击请求的来源地区分布,支持查看全球分布(国家维度)、中国内地分布(省市区维度)。单击更多可以查看不同来源地区的请求占比数据。

如果您需要封禁某个攻击来源地区的流量,可以单击区域下方的防护设置,为被攻击域名配置区域封禁(针对域名)。具体操作,请参见设置区域封禁(针对域名)

URL

展示了被请求次数最多的5条URL。按照被请求次数由高到低排序。单击更多查看所有被请求的URL(即URI和所属域名)及不同URL的占比。

如果您需要针对具体URI配置访问限速策略,可以单击区域下方的防护设置,为被攻击域名配置频率控制。具体操作,请参见设置频率控制

URI响应时间

展示了URI响应时间最长的5个URI。URI响应时间是指从客户端发出请求获取特定URI代表的资源,到接收完服务端响应并处理完毕的总时间。

您可以基于该数据设置CC安全防护策略。具体操作,请参见设置CC安全防护

攻击源IP

展示了发起异常连接次数最多的10个IP及IP所属地区。单击更多可以查看Top 100来源IP的信息。

说明

攻击来源IP全部为攻击IP,不包含正常请求IP。

如果您需要封禁某个IP的流量,可以单击区域下方的防护设置,为被攻击域名配置黑/白名单(针对域名)。具体操作,请参见设置黑白名单(针对域名)

User-Agent

展示了请求数最多的5条User-Agent。User-Agent即发起访问请求的客户端的浏览器标识、渲染引擎标识和版本信息等浏览器相关信息。

您可以基于该数据设置CC安全防护策略。具体操作,请参见设置CC安全防护

Referer

展示了访问请求中最多的5条Referer信息。Referer即访问请求的来源网址。

您可以基于该数据设置CC安全防护策略。具体操作,请参见设置CC安全防护

HTTP-Method

展示了访问请求中最多的5条访问请求方法信息。

您可以基于该数据设置CC安全防护策略。具体操作,请参见设置CC安全防护

客户端指纹

展示了访问请求中最多的5条客户端指纹信息。客户端指纹即基于发起访问请求的客户端TLS指纹,通过阿里云自研算法识别和计算得出的客户端指纹值,用于访问请求的匹配和防护。

您可以基于该数据设置CC安全防护策略。具体操作,请参见设置CC安全防护

HTTP2.0指纹

展示了访问请求中最多的5条HTTP2.0指纹。用于HTTP2访问请求的匹配和防护。

您可以基于该数据设置CC安全防护策略。具体操作,请参见设置CC安全防护

连接型

您可以查看事件详情并对DDoS高防实例进行针对性的防护配置。

支持查看的事件内容

说明

攻击时间

被攻击的时间。

攻击目标

被攻击的DDoS高防实例的IP及端口。

单击攻击目标后的防护设置,前往基础设施DDoS防护页签,为被攻击实例配置防护策略。具体操作,请参见基础设施DDoS防护

攻击防护详情

展示了攻击期间,新建连接数并发连接数的变化趋势图。您可以在该区域的右上角,设置要查询的时间范围。

新建连接数趋势图包含不同防护策略拦截的异常连接数据,例如,黑名单区域封禁源限速(具体分为源新建连接限速源并发连接限速源PPS限速源带宽限速)。关于以上防护策略的配置方法,请参见设置黑白名单(针对高防实例IP)设置区域封禁设置源限速

并发连接数趋势图包含活跃连接数和非活跃连接数的数据。

攻击来源IP

展示了发起异常连接次数最多的5个IP及IP所属地区。单击更多可以查看Top 100攻击来源IP的信息。

说明

攻击来源IP全部为攻击IP,不包含正常请求IP。

如果您需要封禁某个IP的流量,可以为被攻击实例配置黑 / 白名单(针对高防实例IP)。具体操作,请参见设置黑白名单(针对高防实例IP)

攻击类型

展示了攻击流量的协议类型分布。单击更多可以查看不同攻击类型的请求占比数据。

攻击来源地区

展示了攻击请求的来源地区分布。单击更多可以查看不同来源地区的请求占比数据。

如果您需要封禁某个攻击来源地区的流量,可以为被攻击实例配置区域封禁。具体操作,请参见设置区域封禁

流量型

您可以查看事件详情并对DDoS高防实例进行针对性的防护配置。

支持查看的事件内容

说明

攻击时间

被攻击的时间。

攻击目标

被攻击的DDoS高防实例的IP。

单击攻击目标后的防护设置,前往基础设施DDoS防护页签,为被攻击实例配置防护策略。相关操作,请参见基础设施DDoS防护

攻击防护详情

bps:攻击期间,入方向、出方向流量和清洗流量的带宽的变化趋势图。

pps:攻击期间,入方向、出方向流量和清洗流量的报文的变化趋势图。

说明

入流量 > =1Gbps清洗流量 > 100Mbps时,产生告警事件。

来源IP

展示了发起请求次数最多的10个IP及IP所属地区。单击更多可以查看Top 100来源IP的信息。

说明

来源IP包含攻击IP和正常请求IP。

如果您需要封禁某个IP的流量,可以单击列表下的黑名单设置,设置黑 / 白名单(针对高防实例IP)。具体操作,请参见设置黑白名单(针对高防实例IP)

攻击来源运营商

展示了攻击流量的来源运营商分布。单击更多可以查看不同运营商的请求占比数据。

说明

仅DDoS高防(中国内地)支持该数据,DDoS高防(国际)暂不支持该数据。

攻击来源地区

展示了攻击流量的来源地区分布。单击更多可以查看不同来源地区的请求占比数据。

如果您需要封禁某个攻击来源地区的流量,可以单击区域下方的区域封禁设置,为被攻击实例配置区域封禁。具体操作,请参见设置区域封禁

攻击类型

展示了攻击流量的协议类型分布。单击更多可以查看不同攻击类型的请求占比数据。

目的端口

展示了被攻击的端口的占比。单击更多查看各端口的占比数据。