本文介绍您将业务接入DDoS高防后,如何在控制台查看实例和域名的业务数据以及遭受的DDoS攻击详情,帮助您快速了解资产的DDoS防护情况,以便您可以及时调整DDoS防护策略。
概述
DDoS高防最多允许您查看30天内的数据,您可以在安全总览页面右上角单击流量关系说明,查看并熟悉DDoS高防IP流量的相关概念。
前提条件
已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例。
查看实例的防护总览
DDoS高防支持按实例维度展示业务的相关信息及遭受的DDoS攻击详情。
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏单击安全总览,在安全总览页面的实例页签,您可以查看如下信息。
功能名称
说明
带宽(图示①)
DDoS高防(中国内地):提供带宽趋势图,以bps或者pps展示指定时间段内实例上的入流量、出流量、攻击流量、限速流量趋势。
DDoS高防(非中国内地):提供三个页签,分别是总览(与带宽趋势图相同)、入方向分布(入方向流量的分布信息)、出方向分布(出方向流量的分布信息)。
连接数(图示②)
并发连接数:客户端同一时间与DDoS高防建立的TCP连接数量。
活跃连接数:当前所有状态为Established的TCP连接数量。
非活跃连接数:当前除了Established状态以外,所有其他状态的TCP连接数量。
新建连接数:客户端每秒内新增的与DDoS高防通信的TCP连接数。
网络层攻击事件、规格超限告警、目的限速事件(图示③)
网络层攻击事件:
将光标放置在被攻击的IP或端口上,可以查看被攻击的IP和端口信息、攻击的类型和峰值、防护结果。
规格超限告警:
事件类型包含业务带宽、新建连接数和并发连接数。当事件类型对应规格超过购买的规格时会进行提示,对当前业务无影响,建议扩容升级。具体操作,请参见升级实例。
您可以单击状态列的详情跳转到系统日志页面,查看详细信息。
说明超限告警数据的更新时间为每周一的10:00(GMT+8),更新后的数据为前一天的规格超限告警数据。如果您配置了站内信、短信或邮件通知,您也将会在每周一的10:00(GMT+8)收到对应通知,且数据为前一天的规格超限告警数据。
目的限速事件
当业务的新建连接数、并发连接数或业务带宽等远超实例规格时,会触发对应的限速策略,对业务产生影响,产生目的限速事件。
您可以单击状态列的详情跳转到系统日志页面,查看详细信息。
正常业务地区分布、正常业务运营商分布(图示④)
正常业务地区分布:正常业务流量的来源地区分布。
正常业务运营商分布:正常业务流量的运营商分布。
查看域名的防护总览
DDoS高防支持按域名维度展示业务的相关信息及遭受的DDoS攻击事件详情。
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏单击安全总览,在安全总览页面的域名页签,您可以查看如下信息。
查看实例总QPS
在全部域名选择框,单击实例总QPS后勾选独享IP,然后单击确定。
功能名称
说明
请求速率(QPS)(图示①)
按照DDoS高防实例维度展示请求速率趋势图,不同的查询时间间隔对应的展示粒度不同。
响应码和请求数(图示②)
按照DDoS高防实例维度展示DDoS高防的响应码。响应码记录的数量对应展示粒度时间内的累加值。不同响应码的含义如下:
2XX:表示请求已成功被服务器接收、理解并接受。
说明2XX响应码的统计数据包含了200响应码的统计数据。
3XX:表示需要客户端采取进一步的操作才能完成请求。通常这些状态码用来重定向。
4XX:表示客户端可能发生了错误,妨碍服务器的处理。
5XX:表示服务器在处理请求的过程中发生了错误或者出现异常状态。
查看精细域名QPS
在全部域名选择框,单击精细域名QPS后勾选域名,然后单击确定。
功能名称
说明
请求速率(QPS)(图示①)
按照域名维度展示请求速率趋势图,不同的查询时间间隔对应的展示粒度不同。
带宽(图示②)
展示域名出方向和入方向的带宽峰值趋势图。
说明仅统计payload字段,和实例级别bps趋势图有偏差。
响应码和请求数(图示③)
分为DDoS高防的响应码以及源站响应码。响应码记录的数量对应展示粒度时间内的累加值。不同响应码的含义如下:
2XX:表示请求已成功被服务器接收、理解并接受。
说明2XX包含200~299的所有状态码。
200:表示请求成功。
3XX:表示需要客户端采取进一步的操作才能完成请求。通常这些状态码用来重定向。
4XX:表示客户端可能发生了错误,妨碍服务器的处理。
说明4XX包含400~499的所有状态码。
403:服务器理解了客户端的请求,但拒绝执行。
404:服务器无法找到客户端所请求的资源。
405:服务器理解了客户端请求的资源路径,但对于请求中所使用的HTTP方法(如GET、POST、PUT、DELETE等),该资源不允许使用此方法进行访问。
410:服务器上的该资源已被删除。
499:客户端在服务器还没有完成对请求的处理之前取消了请求。
5XX:表示服务器在处理请求的过程中发生了错误或者出现异常状态。
说明5XX包含500~599的所有状态码。
502:表示DDoS高防作为代理服务器尝试执行请求,但是从上游服务器收到了无效的响应。
503:表示服务器当前无法处理请求,可能因为临时的服务器维护或者过载。
504:表示DDoS高防作为代理服务器尝试执行请求,但是未能及时从上游服务器收到响应。
URI请求次数、URI响应时间等(图示④)
展示对应指标的Top5数据,您可以单击更多查看更多数据。包含URI请求次数、URI响应时间、User-Agent、Referer、HTTP-Method、客户端指纹、HTTP2.0指纹、JA3指纹、JA4指纹。各指标的详细介绍,请参见附录一:支持设置的HTTP请求字段。
说明URI响应时间的取值逻辑为最大值。
应用层清洗事件(图示⑤)
应用层发生的清洗事件。将光标放置在域名上,可以展示被攻击的域名信息、攻击的峰值和攻击类型。
来源地区(图示⑥)
访问来源地区的分布详情。
缓存命中率(图示⑦)
适用于已经开启静态页面缓存功能的场景。更多信息,请参见DDoS防护实验室。
设置告警阈值
针对大流量攻击事件,为避免事件太多对您的业务造成干扰,所以DDoS高防默认策略为入流量大于1Gbps,且产生100Mbps的丢弃流量时才会生成流量攻击事件。入流量小于默认策略,则不产生事件。但考虑到您可能业务流量较小,所以提供自定义配置告警阈值。通过配置告警阈值可以解决您在控制台上看到有清洗流量但没有攻击事件的问题。
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏单击安全总览,在安全总览页面的设置告警阈值区域,您可以自定义配置攻击告警阈值。
如上图所示,您可根据业务需求自定义配置入流量带宽:
针对高防单IP接收入流量带宽总和。
入流量包含攻击流量和业务流量。
当入流量大于或等于自行设置的阈值,且清洗流量大于100Mbps时,产生告警事件。
针对高防实例所有IPV4地址生效,IPV6地址暂不支持自定义调整。