业务流量接入DDoS高防实例进行防护后,您可以通过攻击分析页面查询DDoS高防(新BGP)、DDoS高防(国际)实例上发生的攻击事件记录和详情,了解攻击防护的具体信息,并可以对防护效果进行反馈。本文介绍了使用攻击分析页面的方法。
前提条件
- 已购买DDoS高防(新BGP)或DDoS高防(国际)实例。
相关操作,请参见购买DDoS高防实例。
- 已将业务流量接入DDoS高防(新BGP)或DDoS高防(国际)实例进行防护。
关于网站类业务接入的具体操作,请参见添加网站。
关于非网站业务(例如,端游、手游、App等)接入的具体操作,请参见添加规则。
背景信息
DDoS高防的攻击分析页面向您展示DDoS攻击事件的记录和详情。您可以通过攻击分析页面查询历史攻击事件的攻击目标、起止时间、攻击峰值等信息,也可以对攻击防护效果进行反馈。
- 流量型攻击事件:以DDoS高防IP为攻击目标,通常利用大量傀儡机同时发起大量业务请求,通过大流量压垮网络设备和服务器,导致带宽拥塞,服务无法响应。
如果多个DDoS高防IP在同一时间遭受攻击,则产生多个流量型攻击事件。
- Web资源耗尽型攻击事件:以业务域名(已完成域名接入)为攻击目标,通过模拟正常用户请求,频繁访问Web服务中资源消耗较大的页面,大量消耗服务器资源,导致服务器资源耗尽,无法响应正常业务请求。
如果多个业务域名在同一时间遭受攻击,则产生多个Web资源耗尽型攻击事件。
- 连接型攻击事件:以业务端口(已完成端口接入)为攻击目标,通过非法占用服务器的TCP、UDP连接通道,大量消耗服务器连接数资源,使服务器无法处理新的连接请求,导致正常业务无法运行。
如果一个DDoS高防IP下的多个业务端口在同一时间遭受攻击,则产生多个连接型攻击事件。
攻击分析页面还支持查看攻击事件详情,帮助您了解攻击来源IP、攻击类型分布、攻击来源地区分布等信息,实现攻击防护流程的透明化,提升防护分析体验。
查询攻击事件记录
- 在攻击分析页面,选择要查询的攻击类型和时间范围,查询相关的攻击记录。支持的查询条件包括:
- 攻击类型:支持选择Web资源耗尽型、连接型、流量型或全部攻击类型。
- 时间范围:支持快速查询近1天、近7天或近30天的攻击事件,也可以自定义查询时间范围。自定义查询时间范围时,最多允许查询最近180天内的攻击事件。
攻击分析页面向您展示以下信息:- 页面上方展示了查询时间范围内的流量型攻击峰值(单位:bps)、连接型攻击峰值(单位:cps)和Web资源耗尽型攻击峰值(单位:qps)。
- 页面下方展示了攻击事件记录。每条攻击事件记录包含攻击类型、攻击目标、起止时间和攻击峰值信息。
如果您对某个攻击事件的防护效果有任何建议或疑问,可以通过单击事件操作列下的效果反馈,向我们反馈。我们会根据您的宝贵意见持续优化和改进防护效果。
DDoS攻击事件支持查看攻击事件详情。您可以单击事件操作列下的查看详情,查看攻击事件详情。更多信息,请参见查看流量型攻击详情、查看Web资源耗尽型攻击详情、查看连接型攻击详情。
查看流量型攻击详情
- 页面上方展示了攻击时间、攻击目标(DDoS高防实例的IP)、攻击带宽峰值(单位:bps)和攻击报文峰值(单位:pps)信息。
您可以单击攻击目标后的防护设置,前往基础设施DDoS防护页签,为被攻击实例配置防护策略。相关操作,请参见基础设施DDoS防护。
- 攻击防护详情:展示了攻击期间,入方向、出方向流量和清洗流量的带宽的变化趋势图(位于bps页签)、报文的变化趋势图(位于pps页签)。
- 来源IP(Top 10):展示了发起请求次数最多的前10个IP及IP所属地区。单击更多可以查看Top 100来源IP的信息。
说明 来源IP包含攻击IP和正常请求IP。
如果您需要封禁某个IP的流量,可以单击列表下的黑名单设置,前往基础设施DDoS防护页签,为被攻击实例配置黑 / 白名单(针对高防实例IP)防护策略。相关操作,请参见设置黑白名单(针对高防实例IP)。
- 攻击来源运营商:展示了攻击流量的来源运营商分布。单击更多可以查看不同运营商的请求占比数据。
注意 目前只有DDoS高防(新BGP)支持该数据,DDoS高防(国际)暂不支持该数据。
- 攻击来源地区:展示了攻击流量的来源地区分布。单击更多可以查看不同来源地区的请求占比数据。
如果您需要封禁某个攻击来源地区的流量,可以单击图表下的区域封禁设置,前往基础设施DDoS防护页签,为被攻击实例配置区域封禁防护策略。相关操作,请参见设置区域封禁。
- 攻击类型:展示了攻击流量的协议类型分布。单击更多可以查看不同攻击类型的请求占比数据。
查看Web资源耗尽型攻击详情
- 页面上方展示了攻击时间、攻击目标(域名)、请求数峰值(单位:qps)和总接收请求数(单位:次)、总拦截请求数(单位:次)信息。
您可以单击攻击目标后的防护设置,前往网站业务DDoS防护策略页签,为被攻击域名配置防护策略。相关操作,请参见网站业务DDoS防护。
- 攻击防护详情:展示了攻击期间,入方向总QPS和触发不同模块下防护策略的QPS的变化趋势图,以及触发的防护策略的策略生效时间和拦截次数信息。
网站业务防护模块包括黑名单、区域封禁、频率控制、精确访问控制、其他(例如人机校验失败等)。关于不同防护模块的配置方法,请参见网站业务DDoS防护。
您可以在该区域的右上角,设置要查询的时间范围。
- 来源地区:展示了攻击请求的来源地区分布,支持切换查看全球分布(国家维度)、中国内地分布(省市区维度)。单击更多可以查看不同来源地区的请求占比数据。
如果您需要封禁某个攻击来源地区的流量,可以单击图表下的防护设置,前往网站业务防护策略页签,为被攻击域名配置区域封禁(针对域名)防护策略。相关操作,请参见设置区域封禁(针对域名)。
- URL:展示了被请求次数最多的前5条URL。按照被请求次数由高到低排序。单击更多可以查看所有被请求的URL(即URI和所属域名)及不同URL的占比。
如果您需要针对具体URI配置访问限速策略,可以单击图表下的防护设置,前往网站业务防护策略页签,为被攻击域名配置频率控制防护策略。相关操作,请参见设置频率控制。
- 防护模块过滤分布:展示了不同防护模块拦截的攻击请求的数量分布。
您可以单击图表下的防护设置,前往网站业务防护策略页签,为不同防护模块配置防护策略。关于不同防护模块的配置方法,请参见网站业务DDoS防护。
- Top10攻防策略:展示了被命中次数最多的前10条防护策略及其占比。单击更多可以查看Top 100攻防策略及不同策略的占比。
您可以单击图表下的防护设置,前往网站业务防护策略页签,为不同防护模块配置防护策略。关于不同防护模块的配置方法,请参见网站业务DDoS防护。
查看连接型攻击详情
- 页面上方展示了攻击时间、攻击目标(DDoS高防实例的IP及端口)、并发连接峰值(单位:conns,表示并发连接次数)和新建连接峰值(单位:cps,表示每秒新建连接次数)信息。
您可以单击攻击目标后的防护设置,前往基础设施DDoS防护策略页签,为被攻击实例配置防护策略。相关操作,请参见基础设施DDoS防护。
- 攻击防护详情:展示了攻击期间,新建连接数和并发连接数的变化趋势图。
新建连接数趋势图包含不同防护策略拦截的异常连接数据,例如,黑名单策略、区域封禁策略、源限速策略(具体分为源并发连接限速、源PPS限速、源带宽限速)。关于以上防护策略的配置方法,请参见设置黑白名单(针对高防实例IP)、设置区域封禁、设置源限速。
并发连接数趋势图包含活跃连接数和非活跃连接数的数据。
您可以在该区域的右上角,设置要查询的时间范围。
- 攻击来源IP:展示了发起异常连接次数最多的前5个IP及IP所属地区。单击更多可以查看Top 100攻击来源IP的信息。
说明 攻击来源IP全部为攻击IP,不包含正常请求IP。
如果您需要封禁某个IP的流量,可以为被攻击实例配置黑 / 白名单(针对高防实例IP)防护策略。相关操作,请参见设置黑白名单(针对高防实例IP)。
- 攻击类型:展示了攻击流量的协议类型分布。单击更多可以查看不同攻击类型的请求占比数据。
- 攻击来源地区:展示了攻击请求的来源地区分布。单击更多可以查看不同来源地区的请求占比数据。
如果您需要封禁某个攻击来源地区的流量,可以为被攻击实例配置区域封禁防护策略。相关操作,请参见设置区域封禁。