Anti-DDoS：Konfigurasikan kebijakan mitigasi spesifik IP

Catatan Penggunaan

• Aset layanan Alibaba Cloud reguler hanya mendukung kebijakan mitigasi spesifik IP. EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan mendukung kebijakan mitigasi spesifik IP dan spesifik port. Jika Anda mengonfigurasi kedua jenis kebijakan tersebut, kebijakan mitigasi spesifik IP memiliki prioritas lebih tinggi.

• Anda hanya dapat mengaitkan satu kebijakan mitigasi spesifik IP dengan aset yang memiliki alamat IP publik. Selanjutnya, aset dengan alamat IP publik akan disebut sebagai "aset".

• Kebijakan mitigasi kustom adalah metode spesifik untuk memblokir lalu lintas di Anti-DDoS Origin. Lalu lintas yang diblokir oleh kebijakan ini tetap dimasukkan dalam statistik lalu lintas serangan.

Prasyarat

• Aset layanan Alibaba Cloud reguler harus ditambahkan ke Anti-DDoS Origin 1.0, Anti-DDoS Origin 2.0 (Langganan), atau Anti-DDoS Origin 2.0 (Bayar sesuai pemakaian) untuk perlindungan. Untuk informasi lebih lanjut, lihat Tambahkan Objek untuk Perlindungan.

• EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan secara otomatis ditambahkan untuk perlindungan setelah pembelian EIP. Tidak diperlukan penambahan manual.

Prosedur

1. Buka halaman Pengaturan Mitigasi di Konsol Keamanan Lalu Lintas.

2. Klik Create Policy. Di panel Buat Kebijakan, konfigurasikan Policy Name dan pilih IP-specific Mitigation Policy di bagian Pilih Tipe Kebijakan. Lalu, klik OK.

3. Di pesan The policy is created., klik OK. Lalu, konfigurasikan aturan dan klik Next.

   Penting

   • Aturan spesifik hanya berlaku selama serangan DDoS. Aturan berikut terdaftar berdasarkan prioritas menurun:

     • Untuk aset layanan Alibaba Cloud reguler: aturan Daftar Hitam, aturan Pemblokiran ICMP, aturan Daftar Putih, aturan Daftar Hitam Lokasi, aturan Pemblokiran Port, dan aturan Filter Pencocokan Byte.

     • Untuk EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan: aturan Daftar Hitam, aturan Pemblokiran ICMP, aturan Daftar Putih, aturan Pemblokiran Port, aturan Filter Pencocokan Byte, aturan Penyaringan Serangan Refleksi, dan aturan Pembatasan Laju Sumber.

   • Masa berlaku aturan: Aturan tidak kadaluarsa kecuali untuk aturan Daftar Hitam. Anda harus mengonfigurasi masa berlaku untuk aturan Daftar Hitam.

   Aturan	Deskripsi Aturan	Layanan Alibaba Cloud Reguler	EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan	Deskripsi
   Intelligent Protection	Mesin cerdas berbasis analitik data besar secara otomatis mempelajari pola lalu lintas layanan Anda, dan memitigasi serangan DDoS di lapisan jaringan dan transport.	×	√	Penting Setelah Anda membuat kebijakan mitigasi, aturan Perlindungan Cerdas secara otomatis diaktifkan dan diatur ke level Normal. Dalam kasus ini, mesin cerdas berbasis analitik data besar membutuhkan sekitar tiga hari untuk memberikan perlindungan optimal setelah mesin mempelajari pola lalu lintas layanan Anda. Berdasarkan data lalu lintas layanan historis, pengalaman ahli, dan algoritma, aturan Perlindungan Cerdas menyediakan level perlindungan berikut: Loose: Aturan Perlindungan Cerdas pada level Longgar melindungi aset Anda dari alamat IP jahat yang memiliki karakteristik serangan. Level Longgar mungkin mengizinkan serangan tetapi memiliki tingkat positif palsu rendah. Normal: Aturan Perlindungan Cerdas pada level Normal melindungi aset Anda dari alamat IP jahat dan mencurigakan yang memiliki karakteristik serangan. Level Normal membantu mencapai keseimbangan antara efek perlindungan dan tingkat positif palsu rendah. Strict: Aturan Perlindungan Cerdas pada level Ketat memberikan perlindungan kuat terhadap serangan. Level Ketat menyebabkan positif palsu dalam beberapa kasus.
   ICMP Blocking	Aturan ini menolak permintaan Internet Control Message Protocol (ICMP) selama pembersihan lalu lintas untuk melindungi server dari pemindaian jahat dan membantu memitigasi serangan banjir ICMP.	√ Hanya berlaku selama serangan	√ Layanan Alibaba Cloud di daratan Tiongkok: Selalu efektif. Layanan Alibaba Cloud di luar daratan Tiongkok: Efektif hanya selama serangan di Hong Kong dan Amerika Serikat (Virginia); selalu efektif di wilayah lain.	Aturan ini berlaku pada alamat IP di daftar putih. Permintaan ICMP yang dikirim dari alamat IP tersebut juga ditolak. Penting Jika Anda mengaktifkan aturan Pemblokiran ICMP, lalu lintas untuk perintah ping juga diblokir. Sebelum Anda melakukan diagnosis dan pemeliharaan jaringan menggunakan perintah ping, nonaktifkan aturan Pemblokiran ICMP.
   Blacklist and Whitelist	Aturan Daftar Hitam menolak permintaan dari alamat IP sumber tertentu. Aturan Daftar Putih mengizinkan permintaan dari alamat IP sumber tertentu. Penting Jika lalu lintas yang masuk daftar putih terlalu tinggi, itu masih dapat memicu kebijakan pembatasan laju berbasis IP tujuan default Anti-DDoS Origin karena spesifikasi layanan cloud dan keamanan platform.	√ Hanya berlaku selama serangan	√ Berlaku setiap saat	Saat Anda menambahkan alamat IP ke daftar hitam, Anda harus mengonfigurasi periode validitas mulai dari 1 menit hingga 10.080 menit untuk daftar hitam. Periode validitas berlaku untuk semua alamat IP di daftar hitam. Anda dapat menambahkan hingga 2.000 alamat IP ke daftar hitam dan hingga 2.000 alamat IP ke daftar putih.
   Location Blacklist	Aturan ini dapat memblokir permintaan akses berdasarkan lokasi geografis. Setelah aturan Daftar Hitam Lokasi diaktifkan, lalu lintas yang berasal dari lokasi yang diblokir ke alamat IP tujuan diblokir.	√ Hanya berlaku selama serangan	√ Berlaku setiap saat	Anda dapat memblokir permintaan akses berdasarkan area atau negara.
   Port Blocking	Aturan ini menolak permintaan UDP atau TCP yang dikirim melalui port sumber atau tujuan untuk memitigasi serangan refleksi UDP.	√ Hanya berlaku selama serangan	√ Layanan Alibaba Cloud di daratan Tiongkok: Selalu efektif. Layanan Alibaba Cloud di luar daratan Tiongkok: Efektif hanya selama serangan di Hong Kong dan Amerika Serikat (Virginia); selalu efektif di wilayah lain.	Anda dapat membuat hingga delapan aturan pemblokiran port. Penting Kami merekomendasikan Anda mengonfigurasi aturan pemblokiran port berdasarkan saran berikut: Jika aset Anda tidak menyediakan layanan UDP, kami merekomendasikan Anda memblokir semua port sumber UDP. Jika aset Anda menyediakan layanan UDP nanti, sesuaikan kebijakan mitigasi secepat mungkin. Jika aset Anda menyediakan layanan UDP, kami merekomendasikan Anda memblokir port sumber umum yang dieksploitasi oleh serangan refleksi UDP. Port tersebut termasuk port 1 hingga 52, 54 hingga 161, 389, 1900, dan 11211.
   Source Rate Limiting	Aturan ini memungkinkan Anda menentukan ambang batas untuk membatasi laju akses alamat IP sumber ke alamat IP yang dilindungi.	×	√ Berlaku setiap saat	Anda dapat mengonfigurasi Source PPS, Source Bandwidth, PPS of Source SYN Packets, dan Bandwidth of Source SYN Packets. Setelah Anda menentukan ambang batas untuk setiap jenis laju akses, Anda juga dapat memilih opsi "Jika alamat IP sumber memicu pembatasan laju lima kali dalam 60 detik, alamat IP tersebut ditambahkan ke daftar hitam" untuk setiap jenis laju akses. Setelah Anda memilih opsi tersebut, semua lalu lintas akses dari alamat IP sumber dibuang.
   Reflection Attack Filtering	Aturan ini memantau dan melindungi hanya lalu lintas UDP. Anti-DDoS memblokir lalu lintas UDP dari port sumber yang Anda tentukan untuk membantu memblokir serangan refleksi UDP umum.	×	√ Berlaku setiap saat	Aturan Penyaringan Serangan Refleksi mendukung jenis kebijakan berikut: One-click Filtering Policy: mencantumkan serangan refleksi UDP umum. Jika layanan Anda tidak menggunakan UDP, kami merekomendasikan Anda memblokir semua port sumber UDP. Custom Filtering Policy: Anda dapat menentukan hingga 20 port kustom. Port tersebut tidak boleh sama dengan port di bagian One-click Filtering Policy.
   Byte-Match Filter	Aturan ini mencocokkan byte untuk konten paket tertentu untuk menolak, mengizinkan, atau membatasi laju permintaan. Dalam banyak kasus, paket serangan yang dipalsukan oleh alat serangan memiliki bidang fitur yang sama. Misalnya, paket serangan berisi string atau konten yang sama.	√ Hanya berlaku selama serangan	√ Layanan Alibaba Cloud di daratan Tiongkok: Selalu efektif. Layanan Alibaba Cloud di luar daratan Tiongkok: Efektif hanya selama serangan di Hong Kong dan Amerika Serikat (Virginia); selalu efektif di wilayah lain.	Berikut ini menjelaskan parameter konfigurasi: Protocol: jenis protokol. Nilai valid: TCP dan UDP. Source Port Range: rentang port sumber. Nilai valid: 0 hingga 65535. Destination Port Range: rentang port tujuan. Nilai valid: 0 hingga 65535. Packet Length Range: rentang panjang paket. Nilai valid: 1 hingga 1500. Unit: byte. Offset: offset byte dalam paket UDP atau TCP. Nilai valid: 0 hingga 1500. Unit: byte. Jika Anda mengatur parameter ini ke 0, sistem mulai mencocokkan dari byte pertama. Payload: payload pencocokan paket UDP atau TCP. Anda harus memasukkan string heksadesimal dengan panjang 1 hingga 15 byte. Jangan sertakan awalan heksadesimal "0x." Misalnya, untuk mencocokkan 0xad, cukup masukkan ad. Action: aksi pada permintaan yang cocok dengan kondisi yang ditentukan. Nilai valid: Pass, Discard, Limit Bandwidth of Source IP Address, dan Limit Bandwidth of Session. Jika Anda memilih Limit Bandwidth of Source IP Address atau Limit Bandwidth of Session, Anda harus menentukan parameter Bandwidth. Nilai valid parameter Bandwidth: 1 hingga 100000. Unit: paket per detik (pps).
   Add Back-to-origin CIDR Blocks of Anti-DDoS Pro and Anti-DDoS Premium to Whitelist	Aturan ini menambahkan blok CIDR kembali ke asal instance Anti-DDoS Pro atau Anti-DDoS Premium Anda ke daftar putih EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan.	×	√	Untuk melindungi EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan,lalu lintas yang ditujukan ke EIP diteruskan ke pusat pembersihan lalu lintas Anti-DDoS dan kemudian diteruskan ke server asal Anda. Untuk mencegah lalu lintas layanan diblokir, kami sangat menyarankan Anda mengaktifkan aturan ini.

4. Di bagian Protected Assets di bagian Objects to Select, cari aset tempat aturan yang dikonfigurasi akan berlaku berdasarkan wilayah dan nama instance, lalu klik Add.

Apa yang Harus Dilakukan Selanjutnya

• Untuk memodifikasi kebijakan mitigasi spesifik IP, pilih IP-specific Mitigation Policy di halaman Mitigation Settings. Temukan kebijakan yang ingin dimodifikasi dan klik Modify Protection Rule di kolom Actions.

  Penting

  Setelah memodifikasi kebijakan mitigasi, kebijakan yang telah dimodifikasi berlaku untuk semua objek yang dilindungi. Lanjutkan dengan hati-hati.

• Untuk menghapus kebijakan mitigasi spesifik IP, pilih IP-specific Mitigation Policy di halaman Mitigation Settings. Temukan kebijakan yang ingin dihapus dan klik Delete di kolom Actions.

  Penting

  Jika kebijakan mitigasi yang ingin dihapus terlampir pada objek, Anda tidak dapat menghapus kebijakan tersebut. Anda harus melepaskan kebijakan mitigasi dari objek yang dilindungi sebelum dapat menghapus kebijakan mitigasi.

• Untuk melampirkan kebijakan mitigasi ke objek untuk perlindungan atau melepaskan kebijakan mitigasi dari objek yang dilindungi, pilih IP-specific Mitigation Policy di halaman Mitigation Settings. Temukan kebijakan yang ingin Anda kelola dan klik Add Object for Protection di kolom Actions.

Contoh

Untuk melindungi aset layanan Alibaba Cloud reguler, Anda dapat mengonfigurasi kebijakan mitigasi spesifik IP sesuai kebutuhan bisnis guna memitigasi serangan DDoS berbasis volume di lapisan jaringan dan transport.