阿里云首页

接入DDoS高防服务后仍存在被攻击的情况

问题描述

在配置DDoS高防服务后,出现攻击绕过高防直接攻击源站IP,导致业务受影响的问题。

解决方案

建议您按照下列步骤排查并解决问题:

  1. 检查源站服务器中是否存在木马、后门之类的安全隐患。如果没有相应的安全技术人员进行排查,可以选择安全管家云安全中心服务,或者前往云市场选择相关的安全服务。
  2. 检查源站IP是否存在一些其他的服务没有配置高防IP服务,例如邮件服务器的MX记录、bbs记录等除Web以外的记录。
    注意:请仔细检查您DNS解析的全部内容,确保没有记录解析到源站IP。
  3. 检查是否存在网站源码信息泄露,例如phpinfo()指令中可能包含的IP地址泄露。
  4. 检查是否存在某些恶意扫描情况。您可以根据实际情况,在源站上只允许高防回源IP来防护,详情请参见高防源站保护
  5. 确认已经没有业务解析到源站。
    1. 通过17测站长之家等工具测试当前域名,查看是否还有解析到源站的情况。
    2. 检查您的DNS解析配置,查看是否还存在解析到源站IP的记录。
  6. 确认没有其他可能暴露源站IP的因素之后,参考以下方法处理:
    • 更换源站IP
      更换已暴露的源站IP,若您使用的是ECS实例,具体操作请参见更换ECS IP
      注意:更换源站IP之前,请务必确认已消除所有可能暴露源站IP的因素,例如:接口调用。
    • 不想更换源站IP或已经更换过源站IP
      若您不想更换源站IP或者已经更换过源站IP但仍存在IP暴露情况,建议您在后端ECS实例前,再部署一台负载均衡SLB服务器,使用以下部署架构。采用这种部署架构,即使被直接攻击源站,使得源站IP被黑洞,此时高防IP仍然可以通过负载均衡服务器访问源站,因为负载均衡服务器到源站的访问流量通过内网传输。
      客户端 > 高防IP > SLB > ECS
      注意:在此部署架构下,需要在DDoS高防管理控制台中填写负载均衡服务器的IP作为回源地址。

适用于

  • DDoS防护
首页 接入DDoS高防服务后仍存在被攻击的情况