接入DDoS高防服务后仍存在被攻击的情况

问题描述

在配置DDoS高防服务后，出现攻击绕过高防直接攻击源站IP，导致业务受影响的问题。

解决方案

建议您按照下列步骤排查并解决问题：

1. 检查源站服务器中是否存在木马、后门之类的安全隐患。如果没有相应的安全技术人员进行排查，可以选择安全管家或云安全中心服务，或者前往云市场选择相关的安全服务。
2. 检查源站IP是否存在一些其他的服务没有配置高防IP服务，例如邮件服务器的MX记录、bbs记录等除Web以外的记录。

   注意：请仔细检查您DNS解析的全部内容，确保没有记录解析到源站IP。

3. 检查是否存在网站源码信息泄露，例如phpinfo()指令中可能包含的IP地址泄露。
4. 检查是否存在某些恶意扫描情况。您可以根据实际情况，在源站上只允许高防回源IP来防护，详情请参见高防源站保护。
5. 确认已经没有业务解析到源站。
   1. 通过17测或站长之家等工具测试当前域名，查看是否还有解析到源站的情况。
   2. 检查您的DNS解析配置，查看是否还存在解析到源站IP的记录。
6. 确认没有其他可能暴露源站IP的因素之后，参考以下方法处理：
   • 更换源站IP
     更换已暴露的源站IP，若您使用的是ECS实例，具体操作请参见更换源站ECS公网IP。

     注意：更换源站IP之前，请务必确认已消除所有可能暴露源站IP的因素，例如：接口调用。

   • 不想更换源站IP或已经更换过源站IP
     若您不想更换源站IP或者已经更换过源站IP但仍存在IP暴露情况，建议您在后端ECS实例前，再部署一台负载均衡SLB服务器，使用以下部署架构。采用这种部署架构，即使被直接攻击源站，使得源站IP被黑洞，此时高防IP仍然可以通过负载均衡服务器访问源站，因为负载均衡服务器到源站的访问流量通过内网传输。

     客户端 > 高防IP > SLB > ECS

     注意：在此部署架构下，需要在DDoS高防管理控制台中填写负载均衡服务器的IP作为回源地址。

适用于

• DDoS防护