网站业务接入DDoS高防后的通用防护策略_DDoS防护(Anti-DDoS)-阿里云帮助中心

DDoS全局防护策略即阿里云DDoS防护引擎基于海量历史攻防经验，结合实时攻防态势沉淀的通用防护规则，设置后可以减少攻击发生瞬间出现攻击透过的危害。本文介绍了DDoS全局防护策略的设置方法。

全局防护策略介绍

防护模式

DDoS全局防护策略提供宽松、正常、严格三种防护模式，详细介绍请参见下表。当您为域名设置完转发规则时，DDoS高防会默认开启全局防护策略，防护模式为正常，支持您手动调整防护模式。

模式	防护效果	应用场景
宽松	只拦截已知的特定恶意攻击，不会对正常请求造成误拦截。	适合网站规模较大且自身处理性能较强劲的业务防护场景。需要降低流量清洗力度时（例如，业务大促期间），推荐使用宽松模式。
正常（推荐）	拦截在历史正常业务流量中不存在，但在全网恶意攻击中出现概率高的已知恶意攻击，对网站正常业务影响低。	适合请求量平稳、业务属性及用户来源不会有大幅变化的业务防护场景。
严格	对恶意攻击进行严格防御，可能存在部分误拦截。重要使用严格模式前，建议您先联系阿里云技术支持进行咨询，避免策略调整对业务造成误伤。	适合网站自身处理性能较差的业务防护场景。需要加强流量清洗力度时（例如，已有策略防护效果不佳的情形），推荐使用该模式。

防护模式包含的防护规则

每种防护模式包含不同数量的防护规则，目前DDoS高防共支持下表中的几类防护规则，每个类别包含多个防护规则。当您通过攻击分析报表或者全量日志，识别到某个规则出现误判对您的正常业务造成影响，您无需对防护模式进行调整，仅需将特定的防护规则予以关闭，或者对其处置动作加以适当调整即可。

防护规则类别	说明
不合法请求	由于编码错误等原因，HTTP Header等内容包含不合法特征。
模拟浏览器请求	伪造浏览器发起的HTTP请求，一般触发挑战动作进行校验。
模拟爬虫请求	伪造爬虫发起的HTTP请求。
攻击工具请求	常见攻击工具发起的HTTP请求。
高频攻击请求	攻击者发起的高频HTTP请求。
恶意攻击请求	基于阿里云全网攻防沉淀的恶意攻击特征。

不同防护模式支持的防护规则

下表中√表示该模式支持该规则，×表示该模式不支持该规则。

不同防护规则的处置动作不同，处置动作支持您手动修改调整。

观察：对命中观察规则的请求进行日志记录，并放行该访问请求。
挑战：通过挑战算法对访问请求的源IP地址发起校验。
拦截：阻断该访问请求。

规则名称	规则ID	规则描述	默认处置动作	宽松	正常	严格
不合法请求	global_01	HTTP请求Accept包含不合法特征#1	拦截	√	√	√
不合法请求	global_02	HTTP请求Accept-Language包含不合法特征#1	拦截	√	√	√
不合法请求	global_0_1	HTTP请求Accept-Encoding包含不合法特征#1	拦截	×	√	√
不合法请求	global_15	HTTP请求Accept包含不合法特征#2	拦截	√	√	√
不合法请求	global_ge_05f8a760096d29cee462a63ab418e5c3_B_t	HTTP请求Accept包含不合法特征#3	拦截	√	√	√
不合法请求	global_ge_0_B_t	HTTP请求Accept-Encoding包含不合法特征#2	拦截	×	√	√
不合法请求	global_ge_0d4dbd8080c85462ea5395d1d8251da8_B_t	HTTP请求Referer包含不合法特征#1	拦截	×	√	√
不合法请求	global_ge_0e2130d0b87abe84bd74735ec4586ab1_B_t	HTTP请求Accept包含不合法特征#4	拦截	√	√	√
不合法请求	global_ge_1_B_t	HTTP请求Accept-Language包含不合法特征#2	拦截	×	√	√
不合法请求	global_ge_2cfc5256bf5be8892b9356d8db40d0e3_B_t	HTTP请求Cache-Control包含不合法特征#1	拦截	√	√	√
不合法请求	global_ge_aba03cde2fc06dd322ad0a1a46bc47d8_B_t	HTTP请求Connection包含不合法特征#1	拦截	√	√	√
不合法请求	global_online_03	HTTP请求Referer包含不合法特征#2	拦截	√	√	√
不合法请求	global_spv_3adcd517f14ef4295dbcb65f2b544621_B_t	HTTP请求Accept-Language包含不合法特征#3	拦截	×	√	√
不合法请求	global_spv_a69fdbd25ac2da2984809fdc051e9d4e_B_t	HTTP请求User-Agent包含不合法特征#1	拦截	×	×	√
模拟浏览器请求	global_03	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#1	挑战	×	√	×
模拟浏览器请求	global_2_3	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#2	挑战	×	√	×
模拟浏览器请求	global_2_4	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#3	挑战	×	√	×
模拟浏览器请求	global_r_1_C	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#4	挑战	×	√	×
模拟浏览器请求	global_r_2_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#5	挑战	×	√	×
模拟浏览器请求	global_th_00922977ecc39f015bdd94e54e3f08c8_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#6	挑战	×	√	×
模拟浏览器请求	global_th_10_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#7	挑战	×	√	×
模拟浏览器请求	global_th_1db36a86783775fb36ff65e9a9471293_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#8	挑战	×	√	×
模拟浏览器请求	global_th_4_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#9	挑战	×	√	×
模拟浏览器请求	global_th_5_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#10	挑战	×	√	×
模拟浏览器请求	global_th_6_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#11	挑战	×	√	×
模拟浏览器请求	global_th_7_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#12	挑战	×	√	×
模拟浏览器请求	global_th_8_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#13	挑战	×	√	×
模拟浏览器请求	global_th_9_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#14	挑战	×	√	×
模拟浏览器请求	global_th_a256dec6c80b7c953a9d5cf21b193e93_C_t	HTTP请求疑似模拟浏览器，强校验浏览器Header等组合特征#1	挑战	×	×	√
模拟浏览器请求	global_th_e353aae960559269a5146aca41060c60_C_t	HTTP请求疑似模拟浏览器，校验浏览器Header等组合特征#15	挑战	×	√	×
模拟爬虫请求	global_d_6587d6a0e3adb13d4949cdb59a3167c3_B_t	HTTP请求模拟Google爬虫#1	拦截	×	×	√
模拟爬虫请求	global_d_97a08ec7a4a0d131194c4fd40802dd98_B_t	HTTP请求模拟百度爬虫#1	拦截	×	×	√
模拟爬虫请求	global_d_d51505ef3de38efe92bff2163a3b4d38_B_t	HTTP请求模拟Google爬虫#2	拦截	×	×	√
攻击工具请求	global_d_0ac87637e9fccf60e9afbe18ad6af1d9_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#1	挑战	×	√	×
攻击工具请求	global_d_0d0fc1037e2239562d31473e11d40909_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#1	拦截	×	√	√
攻击工具请求	global_d_436c6492dbef6f8d43eec0c3caa86652_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#2	挑战	×	√	√
攻击工具请求	global_d_52d72f8b80d5877e10763d451cc05479_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#3	挑战	×	√	√
攻击工具请求	global_d_5e65a8ca4a9ea2339f24d93c7b2fa819_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#4	挑战	×	√	√
攻击工具请求	global_d_5fdc132caf63121890cb733ad4c2463e_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#2	拦截	×	√	√
攻击工具请求	global_d_658fef4f5d139461f7135b89f5d9dd6d_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#5	挑战	×	√	√
攻击工具请求	global_d_839574bd00cc6f9f2a256a599829db04_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#3	拦截	×	√	√
攻击工具请求	global_d_8917da6c5c8a6aba6ab9156cc9f89d35_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#4	拦截	×	√	√
攻击工具请求	global_d_adc8a089ad050bd9e2ed1aed2b991526_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#6	挑战	×	√	√
攻击工具请求	global_d_bec67b0fe8d26adb09f375c67e355a88_C_t	HTTP请求疑似由已知攻击工具发起，校验Header等组合特征#7	挑战	×	√	×
攻击工具请求	global_d_c660088d7e2385d949fbf594461b06ac_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#5	拦截	×	√	√
攻击工具请求	global_d_dc71e4b0d53ef00f0631b0db72e95fb7_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#6	拦截	×	√	√
攻击工具请求	global_d_fc1c525466aaf12d4580ad03763daaf4_B_t	HTTP请求User-Agent包含已知攻击工具请求特征#7	拦截	×	√	√
攻击工具请求	global_spv_2bdf9b3b14f1277aaccc38ae2b2e8a23_B_t	HTTP请求Referer包含已知攻击工具请求特征#1	拦截	×	√	√
攻击工具请求	global_spv_507e041146fa3a0d8abc61b0bb0ba1bf_B_t	HTTP请求Referer包含已知攻击工具请求特征#2	拦截	×	√	√
攻击工具请求	global_spv_b980df6086a5b9bded374883531ceb9a_B_t	HTTP请求Referer包含已知攻击工具请求特征#3	拦截	×	√	√
高频攻击请求	global_cc_1321b42f0967324a4581f7df931b4b64_C_t	HTTP请求首页高频攻击#1	挑战	×	×	√
高频攻击请求	global_cc_3ed2a1a3801ce62eee67a1804dc2682a_C_t	HTTP请求Header高频遍历攻击#1	挑战	×	×	√
高频攻击请求	global_cc_5d4f4eacd0d2e37f0a82ab247bcdcc50_C_t	HTTP请求特殊User-Agent高频攻击#1	挑战	×	√	√
高频攻击请求	global_cc_958593f854099089cdec7638c11116f4_C_t	HTTP请求URI高频遍历攻击#1	挑战	×	×	√
高频攻击请求	global_cc_c5d86db096688b00f8ad8cb4c3a3d363_C_t	HTTP请求Header高频遍历攻击#2	挑战	×	√	√
恶意攻击请求	global_1_1	HTTP请求Ping-To为恶意攻击源#1	拦截	×	√	√
恶意攻击请求	global_1_3	HTTP请求Referer包含恶意特征#1	拦截	×	√	√
恶意攻击请求	global_1_4	HTTP请求Accept包含恶意特征#1	拦截	×	√	×
恶意攻击请求	global_d_0226f8975a3bb985c7c069fff282bbdc_B_t	HTTP请求User-Agent包含恶意特征#1	拦截	√	√	×
恶意攻击请求	global_d_34f692ae6798abe9fc822912cfcd4cc5_B_t	HTTP请求User-Agent包含恶意特征#2	拦截	×	×	√
恶意攻击请求	global_d_c310e8097811299b9f3d968fe771ebc9_B_t	HTTP请求User-Agent包含恶意特征#3	拦截	×	√	√
恶意攻击请求	global_ge_e397de51d53a70ad1ef6daaf332de446_B_t	HTTP请求Accept-Language包含恶意特征#1	拦截	√	√	√
恶意攻击请求	global_hm_9c0017d9c9b1aa12ea2df4503d8fae29_B_t	HTTP请求方法包含恶意特征#1	拦截	×	√	√
恶意攻击请求	global_hm_c1db5bd6d4f9da9739224ca848b60e62_B_t	HTTP请求方法包含恶意特征#2	拦截	×	√	√
恶意攻击请求	global_online_01	HTTP请求User-Agent包含恶意特征#4	拦截	√	√	√
恶意攻击请求	global_online_02	HTTP请求Accept-Language包含恶意特征#2	拦截	×	√	√
恶意攻击请求	global_spv_0_B_t	HTTP请求Accept-Language包含恶意特征#3	拦截	×	√	√
恶意攻击请求	global_spv_1926afcce4ce00198eca856aaaf6fe38_B_t	HTTP请求User-Agent包含恶意特征#5	拦截	×	√	√
恶意攻击请求	global_spv_1_B_t	HTTP请求URI包含恶意特征#1	拦截	×	√	√
恶意攻击请求	global_spv_2_B_t	HTTP请求Referer包含恶意特征#2	拦截	×	√	√
恶意攻击请求	global_spv_4957fd08aa78f6e640f2364b087cd117_B_t	HTTP请求User-Agent包含恶意特征#6	拦截	×	×	√
恶意攻击请求	global_spv_4e580d90c3df0d19e71fb6947caf5489_C_t	HTTP请求Accept包含恶意特征#2	挑战	×	√	×

如何判断是调整防护模式还是修改防护规则

您可以从以下几个方面进行分析。

分析业务受影响的范围和频率。
- 如果业务受影响范围广，多种正常的用户行为都被阻止，例如用户登录、上传下载等多个功能频繁出现问题，可能是因为防护模式过于严格，此时可以考虑调整防护模式。
- 如果只是某一特定类型的用户行为（如某一类特定客户端访问、网站首页刷新频率限制）被误判，而其他大部分业务正常，那么可能只是个别防护规则出现问题，此时调整防护规则即可。
分析业务变更情况。
- 如果业务进行了重大的更新，例如新增了对外访问的接口或改变了网络架构，此时出现业务受影响的情况，可能是现有的防护模式不适应新的业务形态，需要调整防护模式。
- 如果业务基本保持稳定，只是偶尔某个功能出现问题，可能是个别防护规则的设置未适配这部分业务，此时调整防护规则即可。
测试正常业务流量是否符合防护规则。
- 可以通过模拟正常业务流量来测试现有防护规则和防护模式。如果模拟的正常业务流量在通过防护系统时被大量拦截，此时可能需要调整防护模式。
- 若模拟的正常业务流量只有在触及某个特定规则时才出现问题，比如一个关于异常请求频率的规则对正常的高频率查询业务产生误判，此时调整防护规则即可。

如何判断需要修改哪条防护规则

以防护规则ID为global_cc_1321b42f0967324a4581f7df931b4b64_C_t举例。该规则主要是用于防御HTTP请求首页高频攻击，但在以下场景中可能会出现误判：

大型促销活动场景，活动开始时很多用户可能会在一分钟内频繁刷新首页，这种情况下可能会导致系统误判。
网站技术故障修复后的场景，网站管理员需要测试网站的性能和功能是否恢复正常。为了快速进行测试，管理员可能会使用自动化测试工具对网站首页进行频繁的访问，以检查页面加载速度、链接可用性等多个方面，该行为可能会导致系统误判。

您可以通过攻击分析报表和全量日志分析查看具体是哪个防护规则导致了系统误判。此时可以关闭该防护策略，或者将规则处置动作改为观察。

攻击分析报表
您可以在攻击分析页面，找到Web资源耗尽型攻击详情，通过Top10攻防策略中查看生效的防护规则ID。
全量日志分析
您可以在全量日志分析页面，通过last_owner字段查看生效的防护规则ID。其中ID以global开头的为全局防护策略。

注意事项

2021年11月24日及之后接入DDoS高防的域名：默认开启了DDoS全局防护策略（正常模式）。
2021年11月24日前接入DDoS高防的域名：DDoS全局防护策略默认关闭，建议您手动为域名开启该功能。

前提条件

已将网站业务接入DDoS高防。具体操作，请参见添加网站配置。

修改防护规则

登录DDoS高防控制台的通用防护分析页面。
在顶部菜单栏左上角处，根据DDoS高防产品选择地域。
- DDoS高防（中国内地）：选择中国内地地域。
- DDoS高防（非中国内地）：选择非中国内地地域。
单击网站业务DDoS防护页签，并从左侧域名列表中选择要设置的域名。
定位到DDoS全局防护策略区域，修改防护模式或单击设置修改防护模式中的具体防护规则。