：配置DDoS高防后不能实现会话保持的排查思路

概述

本文主要介绍配置DDoS高防后不能实现会话保持的排查思路。

问题描述

业务配置DDoS高防后，域名接入后进行测试，登录后单击任意的菜单，将会退出登录。

问题原因

• 没有开启会话保持。
• 请求经过DDoS高防后，DDoS高防默认会在Cookie中加入一串DDoS高防防攻击用的字段，增长了网站本身的Cookie长度，如果源站服务处理不妥当会出现问题。

  http_cookie:  aliyungf_tc=AQAAAFvyfRtP/AIATUWYDheCsQtZUPVB; SSID=19mjjcefouv7f8cpbuhp2f9lv2; current_menu=%2F 
  					

• 判断用户Session的存储有基于源IP的校验。

  DDoS高防或WAF开启会话保持是指开启DDoS高防的LVS到DDoS高防IP的Tengine这一段，对于SLB后端的服务器而言，同一个客户端的请求，SLB看到的客户端IP只有一个，即会话保持的那个Tengine的IP地址。 如果不开启会话保持，则对SLB的后端的服务器而言，同一个请求，看到的会有多个客户端IP（Tengine）。

解决方案

• 开启TCP监听的会话保持。
• 调整监听为HTTP模式，开启会话保持。
• 在配置DDoS高防之前，直接访问源站SLB，且没有开启会话保持，访问是正常的。说明登录会话保持，不是依赖SLB实现的。
• 会话保持的实现方式是使用Session的方式实现的，同时Session全部保存在MemCache中。Session的信息存放在客户端的Cookies中，获取时是通过Session的ID获取，取SSID值，而非依据顺序获取。
• 开启DDoS高防的会话保持。更多信息，请参见配置会话保持。

适用于

• DDoS高防