设置DDoS防护策略

DDoS高防提供针对网络四层DDoS攻击的防护策略设置功能,例如虚假源和空连接检测、源限速、目的限速,适用于优化调整非网站业务的DDoS防护策略。在DDoS高防实例下添加端口转发规则,接入非网站业务后,您可以单独设置某个端口的DDoS防护策略或批量添加DDoS防护策略。本文介绍如何添加DDoS防护策略。

功能介绍

非网站业务的DDoS防护策略是基于“IP地址+端口”级别的防护,对于已接入DDoS高防实例的非网站业务的“IP+端口”的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护能力。DDoS防护策略配置针对端口级别生效。

DDoS高防为已接入的非网站业务提供以下DDoS防护策略。

  • 虚假源:针对虚假IP发起的DDoS攻击进行校验过滤。

  • 高级攻击防护:针对基于Mirai等僵尸网络建立TCP三次握手后,短时间内发送海量异常报文的DDoS攻击行为进行识别和拦截。

    说明

    IPv4高防IP支持配置,IPv6高防IP不支持配置。

  • 报文特征过滤:基于会话报文payload特征,对正常业务特征或攻击报文特征进行精准识别和防护,也可基于应用层协议进行相关的匹配策略配置。

    说明

    仅DDoS高防(中国内地)的增强版套餐的IPv4高防IP支持配置。

  • 源限速:以当前高防IP、端口为统计对象,对访问频率超出阈值的源IP地址进行限速。访问速率未超出阈值的源IP地址,访问不受影响。源限速支持黑名单控制,对于60秒内5次超限的源IP,您可以开启将源IP加入黑名单的策略,并设置黑名单的有效时长。

  • 目的限速:以当前高防IP、端口为统计对象,当每秒访问频率超出阈值时,对当前高防IP的端口进行限速,其余端口不受限速影响。

  • 包长度过滤:设置允许通过的包最小和最大长度,小于最小长度或者大于最大长度的包会被丢弃。

前提条件

已将非网站业务接入DDoS高防。具体操作,请参见配置端口转发规则

设置单条DDoS防护策略

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择防护设置 > 通用防护策略

  4. 通用防护策略页面,单击非网站业务DDoS防护页签,并在页面上方选择要设置的DDoS高防实例。

  5. 从左侧转发规则列表中单击要设置的转发规则,配置防护策略。

    • 虚假源:仅适用于TCP端口转发规则。

      参数

      描述

      虚假源

      开启后将自动过滤虚假源IP地址的连接请求。

      • 关闭虚假源时,会同步关闭空连接

      • 关闭虚假源空连接高级攻击防护均不生效。

      空连接

      开启后将自动过滤空连接请求,必须先开启虚假源才能开启空连接

    • 高级攻击防护:仅适用于TCP端口转发规则,开启后防护等级默认为正常模式。开启高级攻击防护,必须先开启虚假源

      防护等级

      防护效果

      应用场景

      宽松

      对有明显攻击特征的请求进行拦截,可能存在少量漏过,但误杀率极低。

      适合于直播、流媒体、下载等具备单向大量传输的业务或者源站带宽较大的业务。

      正常(推荐)

      一般情况下,不会对正常业务造成影响,能够充分平衡防护效果和误杀率,建议您在一般情况下选择该等级。

      适用于绝大多数业务场景。

      严格

      对恶意攻击进行严格校验,但可能存在一定误杀。

      适合源站带宽较小或防护效果不佳的场景。

    • 报文特征过滤:基于会话报文(payload),设置精准访问控制规则。单条规则下如果配置了多个匹配条件,必须同时满足才执行对应动作。

      参数

      描述

      优先级

      取值为1~100,数字越小优先级越高。

      规则名称

      自定义的规则名称。

      匹配条件

      • 匹配条件:会话报文(payload)的格式,支持选择 字符串十六进制

      • 区间匹配:匹配的payload开始、结束位置。开始位置、结束位置取值:0~1499,单位为Byte,开始位置<=结束位置。

      • 逻辑符:取值为包含不包含

      • 匹配内容

        • 匹配条件字符串时,匹配内容长度不大于1500,匹配内容长度<=结束位置-开始位置+1 。

          匹配条件十六进制时,匹配内容必须是十六进制字符,长度不大于3000,且必须是偶数,匹配内容长度/2<= 结束位置-开始位置+1 。

      动作

      • 观察:命中观察规则,放行该访问请求。

      • 阻断:命中阻断规则,拒绝该访问请求。

    • 源限速

      参数

      描述

      源新建连接限速

      限制单一源IP的每秒新建连接数量,取值范围:1~50000(个)。超过限制的新建连接将被丢弃。

      • 自动:系统将动态自动计算源新建连接限速阈值,无需手动设置。

      • 手动:需要手动设置源新建连接限速阈值。

      说明

      由于防护设备为集群化部署,新建连接限速存在一定误差。

      黑名单策略 :

      • 支持源新建连接60秒内5次超限,将该源IP加入黑名单选项,源IP若进入黑名单,则其连接请求都将被丢弃。

      • 开启黑名单策略时,需要设置黑名单有效时长,取值范围:1~10080(分钟),默认为30分钟。源IP被加入黑名单时,经有效时长后自动被释放。

      源并发连接限速

      限制单一源IP的并发连接数量,取值范围:1~50000(个)。超过限制的并发连接将被丢弃。

      黑名单策略:

      • 支持源并发连接60秒内5次超限,将该源IP加入黑名单选项,源IP若进入黑名单,则其连接请求都将被丢弃。

      • 开启黑名单策略时,需要设置黑名单有效时长,取值范围:1~10080(分钟),默认为30分钟。源IP被加入黑名单时,经有效时长后自动被释放。

      源PPS限速

      限制单一源IP的包转发数量,取值范围:1~100000(Packet/s)。超过限制的数据包将被丢弃。

      黑名单策略 :

      • 支持源PPS连接60秒内5次超限,将该源IP加入黑名单选项,源IP若进入黑名单,则其连接请求都将被丢弃。

      • 开启黑名单策略时,需要设置黑名单有效时长,取值范围:1~10080(分钟),默认为30分钟。源IP被加入黑名单时,经有效时长后自动被释放。

      源带宽限速

      限制单一源IP的源请求带宽,取值范围:1024~268435456(Byte/s)。

      黑名单策略:

      • 支持源带宽连接60秒内5次超限,将该源IP加入黑名单选项,源IP若进入黑名单,则其连接请求都将被丢弃。

      • 开启黑名单策略时,需要设置黑名单有效时长,取值范围:1~10080(分钟),默认为30分钟。源IP被加入黑名单时,经有效时长后自动被释放。

    • 目的限速:TCP端口转发规则和UDP端口转发规则的默认设置不同。

      • TCP端口转发规则

        参数

        描述

        目的新建连接限速

        限制高防IP端口每秒最大新建连接数,超过限制的新建连接将被丢弃。 取值范围:100~100,000(个)。

        • 默认开启,取值为100,000。

        • 不支持关闭,如果您执行关闭操作,取值会恢复为默认值100,000。

        说明

        由于防护设备为集群化部署,新建连接限速存在一定误差。

        目的并发连接限速

        限制高防IP端口的最大并发连接数量,超过限制的并发连接将被丢弃。取值范围:1000~2,000,000(个)。

        • 默认开启,取值为2,000,000。

        • 不支持关闭,如果您执行关闭操作,取值会恢复为默认值2,000,000。

      • UDP端口转发规则

        参数

        描述

        目的新建连接限速

        限制高防IP端口每秒最大新建连接数,超过限制的新建连接将被丢弃。

        默认关闭。取值范围:100~50,000(个)。

        说明

        由于防护设备为集群化部署,新建连接限速存在一定误差。

        目的并发连接限速

        限制高防IP端口的最大并发连接数量,超过限制的并发连接将被丢弃。取值范围:1,000~200,000(个)。

        • 默认开启,取值为200,000。

        • 不支持关闭,如果您执行关闭操作,会恢复为默认值200,000。

    • 包长度过滤:单击包长度过滤下的设置,设置允许通过高防IP端口的报文所含payload的最小和最大长度,取值范围:0~1500(Byte),并单击确定

批量添加DDoS防护策略

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 端口接入

  4. 端口接入页面,选择DDoS高防实例,并单击规则列表下方的批量操作 > 添加DDoS防护策略

  5. 添加DDoS防护策略对话框,按照格式要求输入要添加的防护策略内容,并单击确定。

    说明

    您也可以先批量导出当前DDoS防护策略,在导出的txt文件中统一调整后再将内容复制粘贴进来。导出文件中的DDoS防护策略格式和批量添加DDoS防护策略的格式要求一致。更多信息,请参见批量导出

    • 每行对应一条转发规则的DDoS防护策略。

    • 每条DDoS防护策略从左到右包含以下字段:转发协议端口、转发协议(tcp、udp)、源新建连接限速、源并发连接限速、目的新建连接限速、目的并发连接限速、包长度最小值、包长度最大值、虚假源开关、空连接开关。字段间以空格分隔。

    • 转发协议端口必须是已配置转发规则的端口。

    • 虚假源开关和空连接开关的取值是:on、off。若为空则表示关闭(即off)。