DDoS高防接入配置最佳实践

业务接入DDoS高防产品后,可以将攻击流量引流到DDoS高防,有效避免业务在遭受大流量DDoS攻击时出现服务不可用的情况,确保源站服务器的稳定可靠。您可以参考本文中的接入配置和防护策略最佳实践,在各类场景中使用DDoS高防更好地保护您的业务。

接入配置流程概述

接入场景

接入配置流程

正常情况下的业务接入

  1. 业务梳理

  2. 准备工作

  3. 接入和配置DDoS高防

业务遭受攻击时的紧急接入

参照正常情况下的业务接入配置流程操作前,必须先阅读了解紧急接入场景须知

步骤1:业务梳理

首先,建议您对需要接入DDoS高防进行防护的业务情况进行全面梳理,帮助您了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能模块提供指导依据。

梳理项

说明

操作建议

网站和业务信息

网站或应用业务每天的流量峰值情况,包括Mbps、QPS

判断风险时间点。

作为DDoS高防实例的业务带宽和业务QPS规格的选择依据。

业务的主要用户群体(例如,访问用户的主要来源地域)

判断非法攻击来源。

方便业务接入后配置DDoS高防的区域封禁策略。更多信息,请参见设置区域封禁(针对域名)

业务是否为C/S架构

如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。

无。

源站是否部署在非中国内地地域

判断所配置的实例是否符合最佳网络架构。

源站部署在非中国内地地域时,建议选购DDoS高防(非中国内地)服务。更多信息,请参见什么是DDoS高防

源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等)

判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。

如果有,需要在源站上设置放行DDoS高防的回源IP。更多信息,请参见放行DDoS高防回源IP

业务是否需要支持IPv6协议

无。

如果您的业务需要支持IPv6协议,建议您使用DDoS原生防护。更多信息,请参见什么是DDoS原生防护

业务使用的协议类型

无。

用于后续业务接入DDoS高防时配置网站信息,需要选择对应的协议。

业务端口

无。

判断源站业务端口是否在DDoS高防的支持端口范围内。更多信息,请参见自定义服务器端口

请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制

判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。

无。

业务是否有获取并校验真实源IP机制

接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。

如果需要,请参见配置DDoS高防后获取真实的请求来源IP

业务是否使用TLS 1.0或弱加密套件

判断业务使用的加密套件是否支持。

完成业务接入后,根据需要设置TLS安全策略。具体操作,请参见自定义TLS安全策略

(针对HTTPS业务)服务端是否使用双向认证

无。

DDoS高防暂不支持双向认证,需要变更认证方式。

(针对HTTPS业务)客户端是否支持SNI标准

无。

对于支持HTTPS协议的域名,接入DDoS高防后,客户端和服务端都需要支持SNI标准。

(针对HTTPS业务)是否存在会话保持机制

DDoS高防的HTTP和HTTPS默认连接超时时长为120秒。

如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。

业务是否存在空连接

例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。

无。

业务交互过程

了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略。

无。

活跃用户数量

便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施。

无。

业务及攻击情况

业务类型及业务特征(例如,游戏、棋牌、网站、App等业务)

便于在后续攻防过程中分析攻击特征。

无。

业务流量(入方向)

帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。

无。

业务流量(出方向)

帮助后续判断是否遭受攻击,并且作为是否需要额外业务带宽扩展的参考依据。

无。

单用户、单IP的入方向流量范围和连接情况

帮助后续判断是否可针对单个IP制定限速策略。

更多信息,请参见设置频率控制

用户群体属性

例如,个人用户、网吧用户、通过代理访问的用户。

用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。

业务是否遭受过大流量攻击及攻击类型

根据历史遭受的攻击类型,设置针对性的DDoS防护策略。

无。

业务遭受过最大的攻击流量峰值

根据攻击流量峰值判断DDoS高防功能规格的选择。

更多信息,请参见购买DDoS高防实例

业务是否遭受过CC攻击(HTTP Flood)

通过分析历史攻击特征,配置预防性策略。

无。

业务遭受过最大的CC攻击峰值QPS

通过分析历史攻击特征,配置预防性策略。

无。

业务是否提供Web API服务

无。

如果提供Web API服务,不建议使用频率控制的攻击紧急防护模式。通过分析API访问特征配置自定义CC攻击防护策略,避免API正常请求被拦截。

业务是否已完成压力测试

评估源站服务器的请求处理性能,帮助后续判断是否因遭受攻击导致业务发生异常。

无。

步骤2:准备工作

重要

在将业务接入DDoS高防时,强烈建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。

在将业务接入DDoS高防前,您需要完成下表描述的准备工作。

业务类型

准备工作

网站业务

  • 准备需要接入的网站域名清单,包含网站的源站服务器IP(仅支持公网IP的防护)、端口信息等。

  • 所接入的网站域名必须已完成ICP备案。更多信息,请参见ICP备案流程概述

  • 如果您的网站支持HTTPS协议访问,您需要准备相应的证书和私钥信息,一般包含格式为.crt的公钥文件或格式为.pem的证书文件、格式为.key的私钥文件。

  • 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录,将网站流量切换至DDoS高防。

  • 推荐在将网站业务接入前,完成压力测试。

  • 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。在将业务接入后,需要将这些信任的客户端IP加入白名单。

非网站业务

  • 准备对外提供服务的端口、协议类型。

  • 如果业务通过域名访问,需要准备DNS域名解析管理员账号,用于修改DNS解析记录将网站流量切换至DDoS高防。

  • 推荐在将业务接入前,完成压力测试。

步骤3:接入和配置DDoS高防

  1. 业务接入配置。

    说明

    如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。具体操作,请参见更换源站ECS公网IP

    根据您的业务场景和所选购的DDoS高防产品,参见以下接入配置指导,将您的业务接入DDoS高防:

  2. 配置源站保护。

    为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您完成源站保护配置。具体操作,请参见设置源站保护

  3. 配置防护策略。

    • 网站域名类业务

      • CC攻击防护

        • 业务正常时:将网站业务接入DDoS高防后,建议您在运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。

        • 正在遭受CC攻击时:通过查看DDoS高防管理控制台安全总览报表(具体操作,请参见安全总览),获取域名请求TOP URL、IP地址、访问来源IP、User-agent等参数信息,根据实际情况制定频率控制自定义规则(具体操作,请参见自定义频率控制防护规则),并观察防护效果。

          重要

          由于频率控制攻击紧急模式可能会对特定类型的业务造成一定的误拦截,不建议将攻击紧急作为频率控制的默认防护模式。如果您的业务类型为App业务或者Web API服务,建议您不要使用攻击紧急模式。

          如果使用频率控制正常模式仍发现误拦截现象,建议您使用白名单功能放行特定IP。

      • (网站业务)AI智能防护

        由于AI智能防护策略中的严格模式存在对业务造成误拦截的可能性,且网站域名类业务接入对常见四层攻击已有天然的防护能力,请您不要使用网站业务AI智能防护中的严格模式,建议使用默认的正常模式。更多信息,请参见设置AI智能防护

      • 开启全量日志

        强烈建议您开启全量日志分析服务(具体操作,请参见快速使用全量日志分析)。当业务遭受网络七层攻击时,可以通过全量日志功能分析攻击行为特征,针对性制定防护策略。

        说明

        开通全量日志服务将可能产生额外费用,请您在开通服务前确认。

    • 非网站端口类业务

      一般情况下,将非网站业务接入DDoS高防后,采用默认防护配置即可。在运行一段时间后(两、三天左右),您可以根据业务情况调整四层AI智能防护的模式(具体操作,请参见设置四层AI智能防护),可有效提升针对网络四层CC攻击的防护效果。

      说明

      如果您的业务是API类型或存在集中单个IP访问(例如,办公网出口、单个服务器IP、高频率调用API接口业务等)的情况,请不要开启非网站业务AI智能防护策略的严格模式。如果确实需要使用严格防护模式,请联系阿里云技术支持人员确认情况后再启用,避免因误拦截造成业务无法访问。

      如果您发现有攻击流量透传到源站服务器的情况,建议您启用DDoS防护策略中的源、目的连接限速策略(具体操作,请参见设置端口DDoS防护策略)。在不完全清楚业务情况时,建议将源新建连接限速和并发连接限速均设置为5。如果发现存在误拦截的现象,您可调整数值,适当放宽限速策略。源限速设置

      如果存在服务端主动发送数据包的业务场景,需要关闭空连接防护策略(具体操作,请参见设置端口DDoS防护策略),避免正常业务受到影响。空连接

  4. 本地测试。

    完成上述DDoS高防配置后,建议您进行配置准确性检查和验证测试。

    说明

    您可以通过修改本地系统hosts文件的方式进行本地测试。

    表 1. 配置准确性检查项

    编号

    检查项

    网站域名类业务接入检查项(必检)

    1

    接入配置域名是否填写正确。

    2

    域名是否备案。

    3

    接入配置协议是否与实际协议一致。

    4

    接入配置端口是否与实际提供的服务端口一致。

    5

    源站填写的IP是否是真实服务器IP,而不是错误地填写了DDoS高防实例的IP或其他服务的IP。

    6

    证书信息是否正确上传。

    7

    证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。

    8

    证书链是否完整。

    9

    是否已了解DDoS高防(中国内地)实例的弹性防护计费方式。

    10

    协议类型是否启用Websocket、Websockets协议。

    11

    是否开启频率控制的攻击紧急和严格模式。

    非网站端口类业务检查项(必检)

    1

    业务端口是否可以正常访问。

    2

    接入配置协议是否与实际协议一致;确认未错误地为TCP协议业务配置UDP协议规则等。

    3

    源站填写的IP是否是真实服务器IP,而不是错误地填写了DDoS高防实例的IP或其他服务的IP。

    4

    是否已了解DDoS高防实例(中国内地)实例的弹性防护计费方式。

    5

    是否开启四层AI智能防护的严格模式。

    表 2. 业务可用性验证项

    编号

    检查项

    1(必检项)

    测试业务是否能够正常访问。

    2(必检项)

    测试业务登录会话保持功能是否正常。

    3(必检项)

    (网站域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。

    4(必检项)

    (网站域名类业务)对于App业务,测试HTTPS链路访问是否正常。检查是否存在SNI问题。

    5(建议项)

    是否配置后端服务器获取真实访问源IP。

    6(建议项)

    (网站域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站。

    7(必检项)

    测试TCP业务的端口是否可以正常访问。

  5. 正式切换业务流量。

    必要检查项均检测通过后,建议采用灰度的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。

    说明

    修改DNS解析记录后,需要10分钟左右生效。

    真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。

  6. 配置监控告警。

    建议您使用云监控对已接入DDoS高防进行防护的域名、端口和业务源站端口进行监控(具体操作,请参见设置DDoS高防报警规则),实时监控其可用性、HTTP返回状态码(5XX、4XX类状态码)等,及时发现业务异常现象。

  7. 日常运维。

    • 弹性后付费和保险版高级防护次数

      • 首次购买DDoS高防(中国内地)的用户可以免费获得三个300 Gbps规格的抗D包(更多信息,请参见抗D包),建议您尽快将其绑定至DDoS高防实例并将弹性防护阈值设置为300 Gbps。绑定成功后,当日内(自然日)所遭受的抗D包防护规格内(300 Gbps以内)的攻击防护流量将不会产生弹性防护费用。

        说明

        如果您在抗D包耗尽后或到期后不想启用DDoS高防的弹性防护能力,应及时将弹性防护阈值调整为实例的保底防护带宽。

      • 如果需要启用DDoS高防(中国内地)的弹性防护能力,请务必先查看DDoS高防(中国内地)的计费方式(更多信息,请参见DDoS高防(中国内地)计费说明),避免出现实际产生的弹性防护费用超出预算的情况。

      • DDoS高防(非中国内地)的保险版实例,每月免费赠送两次高级防护。建议您根据业务需求情况选择对应的套餐版本。

    • 判断攻击类型

      当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看DDoS高防管理控制台安全总览报表(具体操作,请参见安全总览),根据攻击流量信息判断遭受的攻击类型:

      • DDoS攻击类型:在实例防护报表中有攻击流量的波动,且已触发流量清洗,但在域名防护报表中不存在相关联的波动。

      • CC攻击类型: 在实例防护报表中有攻击流量的波动,已触发流量清洗,且在域名防护报表中有相关联的波动。

      更多信息,请参见如何判断DDoS高防实例受到的攻击类型

    • 业务访问延时或丢包

      针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况,如果用户访问网站时存在延时高、丢包等现象,可能存在跨网络运营商导致的访问链路不稳定,推荐您使用DDoS高防(非中国内地)实例并搭配加速线路。

    • 删除域名或端口转发配置

      如果需要删除已防护的域名端口转发配置记录,确认业务是否已正式接入DDoS高防。

      • 如果尚未正式切换业务流量,直接在DDoS高防管理控制台删除域名或端口转发配置记录即可。

      • 如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。

      说明
      • 删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。

      • 删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。

紧急接入场景须知

如果您的业务已经遭受攻击,建议您在将业务接入DDoS高防时注意以下内容:

  • 业务已遭受DDoS攻击

    一般情况下,业务接入DDoS高防后,采用默认防护配置即可。

    如果您发现有网络四层CC攻击透传到源站服务器的情况,建议您开启DDoS防护策略中的源、目的连接限速策略(具体操作,请参见设置端口DDoS防护策略)。

  • 源站IP已被黑洞

    如果在接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,应及时更换源站ECS IP(如果源站为SLB实例,则更换SLB实例公网IP)。具体操作,请参见更换源站ECS公网IP。更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。

    如果您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署负载均衡SLB实例,并将SLB实例的公网IP作为源站IP接入DDoS高防。

    说明

    如果您的业务源站服务器未部署在阿里云,遭受攻击后需要紧急接入DDoS高防进行防护,请确认您业务使用的域名已通过工信部备案,并在将业务接入DDoS高防前联系阿里云技术支持人员对域名进行特殊处理,避免由于域名未通过阿里云接入备案(更多信息,请参见接入备案流程,导致业务无法正常访问。

  • 遭受CC攻击或爬虫攻击

    业务遭受CC攻击、爬虫攻击时,在将业务接入DDoS高防后,需要通过分析HTTP访问日志,判断攻击特征并设置相应的防护策略(例如,分析访问源IP、URL、Referer、User Agent、Params、Header等请求字段是否合法)。