将业务接入云盾DDoS高防产品,将攻击流量引流到DDoS高防,有效避免业务在遭受大流量DDoS攻击时出现服务不可用的情况,确保源站服务器的稳定可靠。

您可以参考本文中的接入配置和防护策略最佳实践,在各类场景中使用云盾DDoS高防更好地保护您的业务。

正常网站业务接入场景

业务梳理

首先,建议您对所需接入DDoS高防进行防护的业务情况进行全面梳理,帮助您了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能模块提供指导依据。
梳理项 说明
网站和业务信息
网站/应用业务每天的流量峰值情况,包括Mbps、QPS 判断风险时间点,并且作为DDoS高防实例的业务带宽和业务QPS规格的选择依据。
业务的主要用户群体(例如,访问用户的主要来源地区) 判断非法攻击来源。
业务是否为C/S架构 如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。
源站是否部署在非中国大陆地域 判断所配置的实例是否符合最佳网络架构。
源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等) 判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。
业务是否需要支持IPv6协议 DDoS高防暂未支持IPv6协议。如果您的业务需要支持IPv6协议,建议您使用DDoS防护包
业务使用的协议类型 用于后续业务接入DDoS高防配置。
业务端口 判断源站业务端口是否在DDoS高防的支持端口范围内。
说明 对于网站业务,DDoS高防目前仅支持80和443标准端口。
请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制 判断DDoS高防是否会影响自定义字段导致服务端业务校验失败
业务是否有获取并校验真实源IP机制 接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。
业务是否使用TLS 1.0或弱加密套件 判断业务使用的加密套件是否支持。
(针对HTTPS业务)服务端是否使用双向认证 DDoS高防暂不支持双向认证,需要变更认证方式。
(针对HTTPS业务)客户端是否支持SNI标准 对于支持HTTPS协议的域名,接入DDoS高防后,客户端和服务端都需要支持SNI标准。
(针对HTTPS业务)是否存在会话保持机制 DDoS高防的HTTP/HTTPS默认连接超时时长为120秒。如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。
业务是否存在空连接 例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。
业务交互过程 了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略。
活跃用户数量 便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施。
业务及攻击情况
业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) 便于在后续攻防过程中分析攻击特征。
业务流量(入方向) 帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。
业务流量(出方向) 帮助后续判断是否遭受攻击,并且作为是否需要额外业务带宽扩展的参考依据。
单用户、单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。
用户群体属性 例如,个人用户、网吧用户、或通过代理访问的用户。判断是否存在单个出口IP集中并发访问导致误拦截的风险。
业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型,设置针对性的DDoS防护策略。
业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防功能规格的选择。
业务是否遭受过CC攻击(HTTP Flood) 通过分析历史攻击特征,配置预防性策略。
业务遭受过最大的CC攻击峰值QPS 通过分析历史攻击特征,配置预防性策略。
业务是否提供Web API服务 如果提供Web API服务,不建议使用CC攻击紧急防护模式。通过分析API访问特征配置自定义CC攻击防护策略,避免API正常请求被拦截。
业务是否已完成压力测试 评估源站服务器的请求处理性能,帮助后续判断是否因遭受攻击导致业务发生异常。

准备工作

注意 在将业务接入DDoS高防时,强烈建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。
在将业务接入DDoS高防前,您需要完成以下准备工作:
业务类型 准备工作
网站业务
  • 所需接入的网站域名清单,包含网站的源站服务器IP(仅支持公网IP的防护)、端口信息等。
  • 所接入的网站域名必须已完成阿里云备案
  • 如果您的网站支持HTTPS协议访问,您需要准备相应的证书和私钥信息,一般包含格式为 .crt 的公钥文件或格式为 .pem 的证书文件、格式为 .key 的私钥文件。
  • 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录将网站流量切换至DDoS高防。
  • 推荐在将网站业务接入前,完成压力测试。
  • 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。在将业务接入后,需要将这些信任的客户端IP加入白名单。
非网站业务
  • 对外提供服务的端口、协议类型。
  • 如果业务通过域名访问,需要准备DNS域名解析管理员账号,用于修改DNS解析记录将网站流量切换至DDoS高防。
  • 推荐在将业务接入前,完成压力测试。

DDoS高防配置

  1. 业务接入配置
    根据您的业务场景和所选购的DDoS高防产品,参考以下接入配置指导,将您业务接入DDoS高防:
    说明
    • 将非网站类业务接入DDoS高防前,务必确认业务的服务类型。如果存在服务端主动发送数据包的场景,需要关闭空链接防护策略,避免正常业务受到影响。
    • 对于网站类业务,由于CC安全防护的攻击紧急模式可能会对特定类型的业务造成一定的误拦截,不建议将攻击紧急作为CC安全防护的默认防护模式。
    • 由于DDoS攻击防护的DDoS防护策略中的严格模式存在对业务造成误拦截的可能性,且网站域名类业务接入对常见四层攻击已有天然的防护能力,请您不要使用DDoS防护策略中的攻击紧急严格模式,建议使用默认的正常模式。
    • 如果您的业务是API类型或存在集中单个IP访问(例如,办公网出口、单个服务器IP、高频率调用API接口业务等)的情况,请不要开启攻击紧急严格模式。如果确实需要使用这两种防护模式,请联系阿里云技术支持人员确认情况后再启用,避免因误拦截造成业务无法访问。
  2. 源站保护配置

    为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您完成源站保护配置。

  3. 防护策略配置
    1. 网站域名类业务(仅支持80、443标准端口)
      • CC攻击防护
        • 业务正常时:将网站业务接入DDoS高防后,建议您在运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置CC防护自定义规则限速策略,避免遭受攻击后的被动响应。
        • 正在遭受CC攻击时:通过查看管理控制台的概览报表,获取域名请求TOP URL、IP地址、访问来源IP、User-agent等参数信息,根据实际情况制定CC防护自定义规则,并观察防护效果。
          说明 如果实际防护效果不佳,您可以联系阿里云安全服务专家,协助您进一步分析日志并制定防护策略。
          注意 由于CC安全防护的攻击紧急模式可能会对特定类型的业务造成一定的误拦截,如果您的业务类型为App业务或者Web API服务,建议您不要使用攻击紧急CC安全防护模式。

          如果使用CC安全防护的正常模式仍发现误拦截现象,建议您使用白名单功能放行特定IP。

      • DDoS攻击防护

        由于DDoS攻击防护的DDoS防护策略中的严格模式存在对业务造成误拦截的可能性,且网站域名类业务接入对常见四层攻击已有天然的防护能力,请您不要使用DDoS防护策略中的攻击紧急严格模式,建议使用默认的正常模式。

      • 开启全量日志
        强烈建议您开启全量日志服务。当业务遭受网络七层攻击时,可以通过全量日志功能分析攻击行为特征,针对性制定防护策略。
        说明
        • 开通全量日志服务将可能产生额外费用,请您在开通服务前确认。
        • 当已存储的日志容量达到3 TB,将停止存储新生成的网站日志。您拥有三次机会清空当前存储的所有日志数据,或者您可以通过关闭一些不必要的网站的日志存储功能来减少日志存储量。
        • 免费日志存储规格默认保存最近30天的日志。当存储的日志数据超过30天后,将自动被新的日志数据覆盖。
    2. 非网站端口类业务

      一般情况下,将非网站业务接入DDoS高防后,采用默认防护配置即可。在运行一段时间后(两、三天左右),您可以根据业务情况调整清洗模式(DDoS高防IP)或智能防御模式(新BGP高防),可有效提升针对网络四层CC攻击的防护效果。

      如果您发现有攻击流量透传到源站服务器的情况,建议您启用DDoS防护策略中的源、目的连接限速策略。在不完全清楚业务情况时,建议将新建连接限速和并发连接限速均设置为5。如果发现存在误拦截的现象,您可调整数值,适当放宽限速策略。

      注意

      如果存在服务端主动发送数据包的业务场景,需要关闭空链接防护策略,避免正常业务受到影响。

      如果您的业务是API类型或存在集中单个IP访问(例如,办公网出口、单个服务器IP、高频率调用API接口业务等)的情况,请不要开启攻击紧急严格模式。如果确实需要使用这两种防护模式,请联系阿里云技术支持人员确认情况后再启用,避免因误拦截造成业务无法访问。

      说明 如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。
  4. 本地测试
    完成上述DDoS高防配置后,建议您进行配置准确性检查和验证测试。
    说明 您可以通过修改本地系统Hosts文件方式进行本地测试。
    表 1. 配置准确性检查项
    编号 检查项
    网站域名类业务接入检查项
    1 接入配置域名是否填写正确(必检项
    2 域名是否备案(必检项
    3 接入配置协议是否与实际协议一致(必检项
    4 接入配置端口是否与实际提供的服务端口一致(必检项
    5 源站填写的IP是否是真实服务器IP,而不是错误地填写了高防IP或其他服务IP(必检项
    6 证书信息是否正确上传(必检项
    7 证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)(必检项
    8 证书链是否完整(必检项
    9 是否已了解DDoS高防实例的弹性防护计费方式(必检项
    10 协议类型是否启用Websocket、Websockets协议(必检项
    11 是否开启CC安全防护的紧急和严格模式(必检项
    非网站端口类业务检查项
    1 业务端口是否可以正常访问(必检项
    2 接入配置协议是否与实际协议一致;确认未错误地为TCP协议业务配置UDP协议规则等(必检项
    3 源站填写的IP是否是真实服务器IP,而不是错误地填写了高防IP或其他服务IP(必检项
    4 是否已了解DDoS高防实例的弹性防护计费方式(必检项
    5 是否开启DDoS防护策略中的严格模式(必检项
    表 2. 业务可用性验证项
    编号 检查项
    1 测试业务是否能够正常访问(必检项
    2 测试业务登录会话保持功能是否正常(必检项
    3 (网站域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截(必检项
    4 (网站域名类业务)对于App业务,测试HTTPS链路访问是否正常;检查是否存在SNI问题(必检项
    5 是否配置后端真实服务器获取真实源IP(建议项)
    6 (网站域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站(建议项)
    7 测试TCP业务的端口是否可以正常访问(必检项
  5. 正式切换业务流量
    必要测试项均检测通过后,建议采用灰度的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。
    说明 修改DNS解析记录后,需要10分钟左右生效。
    真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。
  6. 监控告警配置

    建议您使用云监控功能对已接入DDoS高防进行防护的域名、端口和业务源站端口进行监控,实时监控其可用性、HTTP返回状态码(5XX、4XX类状态码)等,及时发现业务异常现象。

  7. 日常运维
    • 弹性后付费和保险版高级防护次数
      • 首次购买新BGP高防的用户可以免费获得三个300 G规格的抗D包,建议您尽快将其绑定至DDoS高防实例并将弹性防护阈值设置为300 G。绑定成功后,当日内(自然日)所遭受的抗D包防护规格内(300 G以内)的攻击防护流量将不会产生弹性防护费用。
        说明 如果您在抗D包耗尽后或到期后不想启用DDoS高防的弹性防护能力,应及时将弹性防护阈值调整为实例的保底防护带宽。
      • 如果需要启用DDoS高防的弹性防护能力,请务必先查看DDoS高防的计费方式,避免出现实际产生的弹性防护费用超出预算的情况。
      • DDoS高防(国际)的保险版实例,每月免费赠送两次高级防护(无上限全力防护)。建议您根据业务需求情况选择对应的套餐版本。
    • 判断攻击类型

      当DDoS高防同时遭受CC攻击和DDoS攻击时,您可在云盾DDoS防护管理控制台的安全报表中,根据攻击流量信息判断遭受的攻击类型。

      • DDoS攻击类型:在DDoS攻击防护报表中有攻击流量的波动,且已触发流量清洗,但在CC攻击防护报表中不存在相关联的波动。
      • CC攻击类型: 在DDoS攻击防护报表中有攻击流量的波动,已触发流量清洗,且在CC攻击防护报表中有相关联的波动。
    • 业务访问延时或丢包
      • 针对源站服务器在海外、DDoS高防实例为中国大陆地区、主要访问用户来自中国大陆地区的情况,如果用户访问网站时存在延时高、丢包等现象,可能是由于回源网络链路问题,推荐您将源站服务器部署在中国大陆地区
      • 针对源站服务器在海外、DDoS高防实例为海外地区、主要访问用户来自中国大陆地区的情况,如果用户访问网站时存在延时高、丢包等现象,可能存在跨网络运营商导致的访问链路不稳定,推荐您使用DDoS高防(国际)实例并搭配加速线路
    • 删除域名或端口转发配置
      如果需要删除已防护的域名端口转发配置记录,确认业务是否已正式接入DDoS高防。
      • 如果尚未正式切换业务流量,直接在云盾DDoS防护管理控制台中删除域名或端口转发配置记录即可。
      • 如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。
      说明
      • 删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。
      • 删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。

业务遭受攻击时的紧急接入场景

如果您的业务已经遭受攻击,建议您在将业务接入DDoS高防前执行以下操作:
  • 遭受DDoS攻击

    一般情况下,将业务接入DDoS高防后,采用默认防护配置即可。

    如果您发现有网络四层CC攻击透传到源站服务器的情况,建议您启用DDoS防护策略中的源、目的连接限速策略。

  • 源站IP已被黑洞

    如果接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,应及时更换源站ECS IP(如果源站为SLB实例,则更换SLB实例公网IP)。更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。

    如果您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署负载均衡(SLB)实例,并将SLB实例的公网IP作为源站IP接入DDoS高防。
    说明 如果您的业务源站服务器未部署在阿里云,遭受攻击后需要紧急接入DDoS高防进行防护,请确认您业务使用的域名已通过工信部备案,并在将业务接入DDoS高防前联系阿里云技术支持人员对域名进行特殊处理,避免由于域名未通过阿里云备案,导致业务无法正常访问。
  • 遭受CC攻击或爬虫攻击

    业务遭受CC攻击、爬虫攻击,在将业务接入DDoS高防后,需要通过分析HTTP访问日志,判断攻击特征并设置相应的防护策略(例如,分析访问源IP、URL、Referer、User Agent、Params、Header等请求字段是否合法)。如果仍然存在攻击流量透传至源站的情况,请联系阿里云技术支持人员。

安全专家服务

购买开通云盾DDoS高防后,您可以在管理控制台中通过钉钉扫描二维码直接联系阿里云安全服务专家。

安全专家将针对您的业务场景提供DDoS高防接入配置指导、安全攻击分析和防御相关安全服务,基于业务实际情况帮助您更好地使用DDoS高防对业务进行安全防护,保障您业务的网络安全。
说明 为了便于快速分析和解决问题,在远程技术支持服务过程中,可能需要您授权阿里云安全专家查看业务数据。所有安全专家服务人员都将严格遵循服务授权和保密原则,防止您的信息泄露。