源限速允许您对源IP到DDoS高防实例端口的访问频率和流量大小进行限制。开启源限速后,超出访问限制的源IP将触发请求限速或加入黑名单处理。源IP一旦被添加到黑名单,则所有来自该IP的访问请求会被丢弃。本文介绍了设置源限速的具体操作。

前提条件

已在端口接入中配置非网站业务端口转发规则。更多信息,请参见添加规则

背景信息

DDoS高防支持对源IP到特定DDoS高防实例端口的访问频率进行限制,限制维度包括源新建和并发连接等,也支持对源IP到特定DDoS高防实例端口的流量大小进行限制,限制维度包括源带宽(bps)和源报文数量(pps)。针对超过访问频率或流量阈值的源IP,DDoS高防对其进行限速和设置黑名单处理。上述功能适用于防护四层连接型CC攻击,能够起到快速压制攻击源的目的,效果明显。

假设某个源IP访问DDoS高防实例的8000端口,新建连接异常高,超出正常水平十多倍。您可以为高防实例的8000端口配置源新建连接限速,且开启黑名单策略,将反复超限的源IP自动添加成黑名单,丢弃源IP的访问请求。

说明 源限速针对DDoS高防实例的具体端口生效。如果您需要对多个不同DDoS高防实例的端口开启源限速,则需要对不同DDoS高防实例的端口分别设置。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部导航栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
  3. 在左侧导航栏,单击接入管理 > 端口接入
  4. 端口接入页面,选择要操作的DDoS高防实例。
  5. 定位到要操作的转发规则,单击其DDoS防护策略列下的配置ddos防护策略配置
  6. 单击源限速下的设置源限速设置
  7. 源限速设置对话框,完成限速配置。
    以下图中配置为例,配置生效后,访问该高防端口的源并发连接不能超过50000个/秒,超过的源IP将被限速。如果勾选源并发连接60秒内5次超限,将该源IP加入黑名单,则DDoS高防将统计每个超限源IP在1分钟内的超限次数。如果大于5次,该源IP将被加入黑名单,所有来自该源IP的请求将被丢弃。 源限速配置示例

    源新建连接限速、源PPS限速和源带宽限速的使用方法同上。更多信息,请参见设置DDoS防护策略

  8. 单击确定,使配置生效。