UDP协议流量接入DDoS高防实例进行防护后,推荐您开启UDP反射攻击防护。UDP反射攻击防护支持一键过滤常见的UDP反射攻击,使DDoS高防实例在处理UDP协议流量时,直接丢弃您指定的UDP反射源端口的流量。本文介绍了UDP反射攻击防护的设置方法。

前提条件

  • 已购买增强功能套餐的DDoS高防(新BGP、国际)实例。相关操作,请参见开通DDoS高防(新BGP&国际)

    目前只有增强功能套餐的DDoS高防实例支持设置UDP反射攻击防护。如果您使用的是标准功能套餐实例,则必须升级到增强功能套餐,才能使用UDP反射攻击防护。关于升级实例的具体操作,请参见升级DDoS高防实例规格

  • 已在端口接入页面添加了UDP协议的转发规则。相关操作,请参见添加规则

    UDP反射攻击防护仅对UDP协议流量有效。因此,您只有将UDP协议的业务接入DDoS高防实例进行防护后,才需要设置UDP反射攻击防护。

    如果您还没有在端口接入页面添加任何端口转发规则,或者只添加了TCP协议转发规则,则DDoS默认丢弃所有UDP协议流量。这种情况下,您无需设置UDP反射攻击防护。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略
  4. 基础设施DDoS防护页签,从左侧实例列表中选择要设置的DDoS高防实例。
    您可以使用实例ID、实例备注搜索目标实例。选择实例
  5. 定位到UDP反射攻击防护(针对高防实例IP)区域,单击设置
    注意 目前只有增强功能套餐的DDoS高防实例支持设置UDP反射攻击防护。如果您使用的是标准功能套餐实例,可以单击升级增强版,将当前实例升级到增强功能套餐,然后才可以设置UDP反射攻击防护。
    UDP反射攻击防护
  6. 设置UDP反射攻击防护面板,设置过滤策略(即要过滤的UDP反射源端口)。
    过滤策略表示丢弃指定源端口的UDP协议流量,针对DDoS高防实例生效。如果您在DDoS高防实例上添加了多条UDP业务转发规则,则DDoS高防实例在处理不同UDP业务流量时,都会应用此处设置的过滤策略。设置UDP反射攻击防护

    您可以根据业务实际情况,使用以下方式设置过滤策略:

    • 一键过滤策略(推荐):从一键过滤策略区域的策略列表,选中要应用的策略。

      策略列表罗列了常见的UDP反射攻击类型,以及被用于发动对应反射攻击的反射源端口。建议您全选策略列表中的端口,对常见的UDP反射攻击源端口都开启过滤策略。

    • 自定义过滤策略:在自定义过滤策略区域在的反射源端口列表框,输入要过滤的其他UDP反射源端口(范围:0~65535)。最多支持设置20个端口,多个端口间使用英文逗号(,)分隔。

      该方式适用于过滤一键过滤策略列表中未涵盖的端口,不支持添加与一键过滤策略列表中相同的端口。

  7. 单击确定
    设置成功后,DDoS高防实例在处理UDP协议流量时,将直接丢弃被过滤的源端口的UDP协议流量,避免业务遭受UDP反射攻击。您可以根据业务实际需要,在DDoS高防控制台修改UDP反射攻击防护的过滤策略。