Anti-DDoS:Kebijakan mitigasi spesifik IP

Catatan penggunaan

• Layanan Alibaba Cloud biasa hanya mendukung kebijakan mitigasi spesifik IP, bukan kebijakan spesifik port. EIP dengan Anti-DDoS (Ditingkatkan) mendukung keduanya. Jika Anda mengonfigurasi keduanya, kebijakan mitigasi spesifik IP memiliki prioritas lebih tinggi.

• Setiap aset IP publik hanya dapat dikaitkan dengan satu kebijakan mitigasi spesifik IP.

• Anti-DDoS Origin menggunakan kebijakan mitigasi kustom untuk mencegat lalu lintas. Lalu lintas yang diblokir tetap termasuk dalam statistik lalu lintas serangan.

Sebelum memulai

• Untuk layanan Alibaba Cloud biasa: Anda harus menambahkan aset IP publik sebagai aset yang dilindungi, terlepas dari apakah Anda menggunakan Anti-DDoS Origin 1.0, 2.0, atau versi pay-as-you-go. Untuk informasi selengkapnya, lihat Protected assets.

• Untuk EIP dengan Anti-DDoS (Ditingkatkan): Setelah Anda membeli layanan tersebut, Anti-DDoS Origin secara otomatis menambahkan EIP sebagai aset yang dilindungi. Tidak diperlukan tindakan manual.

Prosedur

1. Buka halaman Mitigation Settings di Konsol Keamanan Lalu Lintas.

2. Klik Create Policy, masukkan Policy Name, pilih IP-specific Mitigation Policy sebagai jenis kebijakan, lalu klik OK.

3. Pada kotak dialog The policy is created., klik OK. Konfigurasikan aturan mitigasi, lalu klik Next.

   Penting

   • Prioritas aturan: Beberapa aturan hanya berlaku selama serangan, sebagaimana dijelaskan dalam tabel berikut.

     • Untuk layanan Alibaba Cloud biasa: blacklist > ICMP Blocking > whitelist > Location Blacklist > Port Blocking > Byte-Match Filter.

     • Untuk EIP dengan Anti-DDoS (Ditingkatkan): blacklist > ICMP Blocking > whitelist > Port Blocking > Byte-Match Filter > Reflection Attack Filtering > Source Rate Limiting.

   • Periode berlaku: Semua aturan berlaku permanen, kecuali aturan blacklist, yang periode berlakunya harus Anda tetapkan sendiri.

   Rule	Description	Regular service	Enhanced EIP	Notes
   Intelligent Protection	Mesin analitik data besar mempelajari garis dasar lalu lintas layanan Anda dan secara adaptif melindungi terhadap serangan DDoS pada lapisan jaringan dan transport.	Not supported	Supported	Penting Fitur ini diaktifkan secara default pada tingkat perlindungan Normal setelah Anda membuat templat kebijakan. Mesin memerlukan pelatihan traffic selama kurang lebih tiga hari untuk mencapai perlindungan optimal. Dengan menggunakan data historis layanan dan algoritma berbasis keahlian, setiap tingkat perlindungan bekerja sebagai berikut: Loose: Melindungi terhadap alamat IP berbahaya dengan karakteristik serangan yang jelas. Tingkat ini mungkin melewatkan beberapa serangan tetapi memiliki tingkat positif palsu yang rendah. Normal: Melindungi terhadap alamat IP berbahaya yang jelas maupun yang dicurigai. Tingkat ini menyeimbangkan efektivitas perlindungan dan tingkat positif palsu. Strict: Memberikan perlindungan kuat terhadap serangan tetapi kemungkinan tingkat positif palsu lebih tinggi.
   ICMP Blocking	Selama pembersihan lalu lintas, sistem membuang traffic ICMP untuk menyaring serangan ICMP dan mengurangi risiko pemindaian server.	Supported Berlaku selama serangan	Supported Untuk layanan di Tiongkok daratan: Selalu aktif. Untuk layanan di luar Tiongkok daratan: Berlaku selama serangan di China (Hong Kong) dan AS (Virginia); Selalu aktif di wilayah lain.	ICMP Blocking juga berlaku untuk alamat IP yang ada di daftar putih, artinya traffic ICMP mereka akan dibuang meskipun berada di daftar putih. Penting Jika Anda mengaktifkan fitur ini, perintah ping tidak akan menerima tanggapan. Nonaktifkan fitur ini sebelum melakukan diagnostik dan maintenance jaringan.
   Blacklist and Whitelist	Buat aturan untuk menyaring atau mengizinkan traffic dari alamat IP sumber tertentu. Penting Jika volume traffic yang diizinkan oleh daftar putih terlalu besar, traffic tersebut masih dapat memicu kebijakan pembatasan laju berdasarkan alamat IP tujuan default dari Anti-DDoS Origin karena spesifikasi layanan dan mekanisme perlindungan platform cloud.	Supported Berlaku selama serangan	Supported Selalu aktif	Saat menambahkan alamat IP ke daftar hitam, Anda harus menetapkan waktu kedaluwarsa antara 1 hingga 10.080 menit. Pengaturan ini berlaku untuk semua alamat IP dalam daftar hitam saat ini. Anda dapat menambahkan hingga 2.000 alamat IP masing-masing ke daftar hitam dan daftar putih.
   Location Blacklist	Memblokir permintaan akses dari wilayah geografis tertentu. Setelah Anda mengaktifkan fitur ini, sistem akan membuang seluruh traffic dari wilayah yang diblokir.	Supported Berlaku selama serangan	Supported Selalu aktif	Anda dapat memblokir traffic berdasarkan wilayah atau negara.
   Port Blocking	Untuk protokol UDP atau TCP, Anda dapat membuat aturan untuk menyaring traffic berdasarkan port sumber atau port tujuan. Hal ini memungkinkan Anda langsung membuang traffic dari protokol tertentu dan port terkait, serta membantu menyaring serangan refleksi UDP.	Supported Berlaku selama serangan	Supported Untuk layanan di Tiongkok daratan: Selalu aktif. Untuk layanan di luar Tiongkok daratan: Berlaku selama serangan di China (Hong Kong) dan AS (Virginia); Selalu aktif di wilayah lain.	Anda dapat membuat hingga delapan aturan. Penting Kami merekomendasikan konfigurasi berikut berdasarkan skenario bisnis Anda untuk meningkatkan perlindungan: Jika aset yang dilindungi hanya memiliki layanan TCP (tanpa layanan UDP), kami merekomendasikan agar Anda memblokir semua port sumber UDP. Jika nanti Anda menambahkan layanan UDP, Anda harus segera menyesuaikan kebijakan perlindungan. Jika aset yang dilindungi memiliki layanan UDP, kami merekomendasikan agar Anda memblokir port sumber refleksi UDP umum, termasuk 1 hingga 52, 54 hingga 161, 389, 1900, dan 11211.
   Source Rate Limiting	Membatasi laju akses dari alamat IP sumber yang melebihi ambang batas tertentu.	Not supported	Supported Selalu aktif	Mendukung Source PPS, Source Bandwidth, PPS of Source SYN Packets, dan Bandwidth of Source SYN Packets. Setelah menetapkan batas laju, Anda juga dapat mengonfigurasi sistem untuk menambahkan alamat IP sumber ke daftar hitam jika melebihi batas lima kali dalam 60 detik. Sistem kemudian akan membuang semua permintaan akses dari alamat IP tersebut.
   Reflection Attack Filtering	Aturan ini hanya berlaku untuk traffic UDP. Saat memproses traffic UDP, sistem langsung membuang traffic dari port sumber refleksi UDP yang Anda tentukan.	Not supported	Supported Selalu aktif	Menyediakan One-click Filtering Policy dan Custom Filtering Policy. One-click Filtering Policy: Menampilkan daftar serangan refleksi UDP umum. Jika layanan Anda tidak melibatkan port sumber UDP tersebut, kami merekomendasikan agar Anda memblokir semuanya. Custom Filtering Policy: Tentukan port sumber refleksi kustom. Anda dapat menentukan hingga 20 port. Port tersebut tidak boleh sama dengan port yang ada di One-click Filtering Policy.
   Byte-Match Filter	Paket berbahaya dari alat serangan sering kali memiliki karakteristik umum. Fitur ini mencocokkan konten pada posisi tertentu dalam paket data, lalu menyaring, mengizinkan, atau membatasi laju traffic berdasarkan hasil pencocokan tersebut.	Supported Berlaku selama serangan	Supported Untuk layanan di Tiongkok daratan: Selalu aktif. Untuk layanan di luar Tiongkok daratan: Berlaku selama serangan di China (Hong Kong) dan AS (Virginia); Selalu aktif di wilayah lain.	Panduan konfigurasi: Protocol: TCP atau UDP. Source Port Range: Rentang port sumber. Nilai valid: 0 hingga 65535. Destination Port Range: Rentang port tujuan. Nilai valid: 0 hingga 65535. Packet Length Range: Rentang panjang paket data IP. Nilai valid: 1 hingga 1500. Satuan: byte. Offset: Offset muatan setelah header UDP atau TCP. Nilai valid: 0 hingga 1500. Satuan: byte. Jika Anda menetapkan offset ke 0, pencocokan dimulai dari byte pertama muatan. Payload: Konten muatan yang akan dicocokkan. Masukkan string heksadesimal dengan panjang 1 hingga 15 byte. Jangan sertakan awalan 0x. Misalnya, untuk mencocokkan 0xad, masukkan ad. Action: Aksi yang diambil terhadap traffic yang sesuai karakteristik. Nilai valid: Pass, Discard, Limit Bandwidth of Source IP Address, dan Limit Bandwidth of Session. Jika Anda memilih Limit Bandwidth of Source IP Address atau Limit Bandwidth of Session, Anda harus menetapkan batas laju. Nilai valid: 1 hingga 100.000. Satuan: pps.
   Add Back-to-origin CIDR Blocks of Anti-DDoS Proxy to Whitelist	Menambahkan alamat IP kembali ke asal dari Anti-DDoS Proxy ke daftar putih kebijakan kontrol akses layanan cloud Anda.	Not supported	Supported	Saat Anda melindungi EIP dengan Anti-DDoS (Ditingkatkan), traffic dialihkan melalui pusat pembersihan lalu lintas Anti-DDoS Proxy sebelum mencapai server origin Anda. Kami sangat menyarankan agar Anda mengaktifkan fitur ini untuk mencegah sistem memblokir lalu lintas sah.

4. Pada daftar Protected Assets, di area Objects to Select, pilih Protected instance.

5. Pilih Asset IP Address yang ingin Anda lindungi. Kemudian, di area Port/Protocol, pilih port spesifik yang akan dilindungi.

6. Setelah menyelesaikan konfigurasi, klik Add.

Operasi terkait

• Ubah templat kebijakan mitigasi spesifik IP: Di halaman Mitigation Settings, pilih IP-specific Mitigation Policy dari daftar drop-down di pojok kiri atas. Temukan kebijakan target dan klik Actions di kolom Modify Protection Rule.

  Penting

  Setelah Anda mengubah templat kebijakan, perubahan tersebut akan diterapkan ke semua aset yang dilindungi yang ditautkan ke templat tersebut. Lakukan dengan hati-hati.

• Hapus templat kebijakan mitigasi spesifik IP: Di halaman Mitigation Settings, pilih IP-specific Mitigation Policy. Temukan kebijakan target dan klik Actions di kolom Delete.

  Penting

  Anda tidak dapat menghapus templat kebijakan yang ditautkan ke aset yang dilindungi. Untuk menghapus templat tersebut, Anda harus terlebih dahulu memutuskan tautannya dari semua aset yang dilindungi.

• Tambahkan atau hapus aset yang dilindungi untuk templat kebijakan: Di halaman Mitigation Settings, pilih IP-specific Mitigation Policy. Temukan kebijakan target dan klik Actions di kolom Add Object for Protection.

Contoh konfigurasi

Untuk layanan Alibaba Cloud biasa, Anda dapat mengonfigurasi kebijakan mitigasi spesifik IP berdasarkan karakteristik layanan untuk mempertahankan diri dari serangan volumetrik pada lapisan jaringan dan transport.