FAQ tentang Anti-DDoS Pro dan Anti-DDoS Premium - Anti-DDoS

Halaman ini mencantumkan pertanyaan umum terkait layanan Anti-DDoS Proxy untuk instance di dalam dan luar daratan Tiongkok.

Ikhtisar Pertanyaan

Penagihan Produk dan Spesifikasi
- Apa yang terjadi setelah instance Anti-DDoS Proxy saya kedaluwarsa?
- Berapa batasan jumlah port dan domain yang dilindungi untuk instance Anti-DDoS Proxy?
Integrasi dan Konfigurasi
Fitur dan Dukungan Protokol
Mekanisme Perlindungan dan Keamanan

Penagihan produk dan spesifikasi

Apa yang terjadi setelah instance Anti-DDoS Proxy saya kedaluwarsa?
Untuk instance Anti-DDoS Proxy (Tiongkok Daratan):
- Dalam 7 hari setelah kedaluwarsa: Kemampuan perlindungan instance diturunkan menjadi ambang batas penyaringan blackhole dasar sebesar 5 Gbps. Jika lalu lintas layanan atau serangan Anda melebihi 5 Gbps, sistem akan memicu Penyaringan Blackhole untuk alamat IP tersebut.
- Dari 8 hingga 30 hari setelah kedaluwarsa: Instance berhenti meneruskan semua lalu lintas. Anda dapat memulihkan layanan dengan memperpanjang langganan selama periode ini.
- 31 hari atau lebih setelah kedaluwarsa: Instance dan sumber dayanya dilepaskan secara permanen. Semua konfigurasi hilang dan tidak dapat dipulihkan.
Untuk informasi lebih lanjut, lihat Penagihan Anti-DDoS Pro.
Berapa batasan jumlah port dan domain yang dilindungi untuk instance Anti-DDoS Proxy?
- Jumlah Port yang Dilindungi:
  - Instance di daratan Tiongkok: 50 secara default, dapat diperluas hingga 400 sesuai kebutuhan.
  - Instance di luar daratan Tiongkok: 5 secara default, dapat diperluas hingga 400 sesuai kebutuhan.
- Jumlah Domain yang Dilindungi:
  - Instance di daratan Tiongkok: 50 secara default, dapat diperluas hingga 200 sesuai kebutuhan.
  - Instance di luar daratan Tiongkok: 10 secara default, dapat diperluas hingga 200 sesuai kebutuhan.

Integrasi dan konfigurasi

Bagaimana cara menemukan IP sumber untuk Anti-DDoS Proxy? Apakah saya perlu menambahkannya ke daftar putih secara manual?
- Temukan IP Sumber: Blok CIDR IP sumber terbaru dapat ditemukan di halaman Konfigurasi Situs Web atau halaman terkait di Konsol Anti-DDoS Proxy.
- Tambahkan ke Daftar Putih: Ya, Anda harus menambahkannya secara manual. Anti-DDoS Proxy tidak otomatis memodifikasi kebijakan keamanan server asal Anda. Jika server asal Anda menggunakan firewall, grup keamanan, atau perangkat lunak keamanan pihak ketiga, Anda harus menambahkan blok CIDR IP sumber Anti-DDoS Proxy ke daftar putih. Jika tidak, server asal Anda akan memblokir semua lalu lintas yang diteruskan oleh Anti-DDoS Proxy.
Catatan
Untuk informasi lebih lanjut, lihat Izinkan alamat IP sumber mengakses server asal.
Bisakah saya menggunakan alamat IP pribadi untuk IP asal saya? Apakah ada penundaan saat memodifikasi IP asal?
- Jenis IP Asal: Tidak. Anti-DDoS Proxy berkomunikasi dengan server asal melalui internet publik. Oleh karena itu, IP asal harus berupa alamat IP publik.
- Penundaan Modifikasi: Ya. Setelah memodifikasi IP asal, dibutuhkan sekitar 5 menit agar konfigurasi baru menyebar ke semua node jaringan. Untuk meminimalkan dampak bisnis, lakukan perubahan ini selama jam-jam sepi.
Catatan
Untuk informasi lebih lanjut, lihat Alamat IP Publik.
Bagaimana Anti-DDoS Proxy menangani Penyeimbangan Beban, Pemeriksaan Kesehatan, dan Persistensi Sesi?
- Penyeimbangan Beban: Saat mengonfigurasi beberapa IP asal:
  - Untuk Lapisan 7 (Layanan Situs Web): Algoritma Round Robin, IP Hash, dan Least Time didukung.
  - Untuk Lapisan 4 (Layanan Non-Situs Web): Algoritma defaultnya adalah Round Robin. Anda tidak dapat mengubah algoritma tersebut.
- Pemeriksaan Kesehatan: Didukung. Pemeriksaan kesehatan diaktifkan secara default untuk layanan situs web dan dinonaktifkan secara default untuk layanan non-situs web, tetapi Anda dapat mengaktifkannya secara manual. Anti-DDoS Proxy memantau kesehatan server asal Anda dan secara otomatis menghapus IP asal yang tidak sehat dari rotasi.
  Catatan
  Untuk informasi lebih lanjut tentang pemeriksaan kesehatan, lihat Ikhtisar Pemeriksaan Kesehatan dan Konfigurasikan Pemeriksaan Kesehatan.
- Persistensi Sesi: Fungsi ini hanya berlaku untuk konfigurasi penerusan port murni dan dinonaktifkan saat peningkatan perlindungan lapisan aplikasi diaktifkan. Saat diaktifkan, Anti-DDoS Proxy dapat secara konsisten meneruskan permintaan dari IP klien yang sama ke server backend yang sama untuk periode tertentu. Untuk langkah-langkah spesifik, lihat Konfigurasikan Persistensi Sesi.
  Catatan
  Jika lingkungan jaringan klien berubah (misalnya, beralih dari Wi-Fi ke 4G), alamat IP publik mereka akan berubah, menyebabkan persistensi sesi gagal.
Bisakah saya menggunakan Anti-DDoS Proxy dengan CDN atau DCDN? Bagaimana cara mengonfigurasinya?
Ya, tetapi rantai langsung sangat tidak disarankan. Metode yang benar adalah menggunakan Solusi Integrasi Cerdas yang disediakan oleh Anti-DDoS Proxy, yang menyeimbangkan percepatan dan perlindungan.
- Metode Rantai Langsung:
  - Aliran Lalu Lintas: CDN/DCDN -> Anti-DDoS Proxy: Jika node CDN/DCDN diserang, mereka mungkin dimasukkan ke sandbox, mencegah lalu lintas mencapai Anti-DDoS Proxy dan membuat perlindungan tidak efektif.
  - Aliran Lalu Lintas: Anti-DDoS Proxy -> CDN/DCDN: Jalur kembali melalui Anti-DDoS Proxy menambah latensi, yang secara negatif memengaruhi kinerja percepatan CDN/DCDN.
- Solusi Integrasi: Gunakan Pengelola Lalu Lintas Keamanan, tersedia di Rencana Fungsi Ditingkatkan dari Anti-DDoS Proxy, untuk berintegrasi dengan CDN/DCDN.
  - Cara Kerjanya: Arahkan nama domain Anda ke CNAME yang dihasilkan oleh Pengelola Lalu Lintas Keamanan. Selama periode normal, lalu lintas diarahkan melalui CDN/DCDN untuk percepatan. Saat serangan terdeteksi, lalu lintas secara otomatis dialihkan ke Anti-DDoS Proxy untuk pembersihan lalu lintas. Setelah serangan berakhir, pengalihan lalu lintas kembali ke CDN/DCDN.
  - Manfaat: Solusi ini memberikan pengalaman pengguna yang cepat untuk akses normal dan ketersediaan tinggi selama serangan.

Fitur dan dukungan protokol

Protokol apa saja yang didukung oleh Anti-DDoS Proxy?
- IPv6: Didukung oleh Anti-DDoS Proxy (Tiongkok Daratan). Belum didukung oleh Anti-DDoS Proxy (Internasional).
- WebSocket: Didukung. Untuk informasi lebih lanjut, lihat Bagaimana cara mengaktifkan WebSocket?
- Otentikasi NTLM: Tidak didukung. Permintaan yang diteruskan melalui Anti-DDoS Proxy mungkin gagal dalam otentikasi NTLM di server asal. Kami merekomendasikan menggunakan Anti-DDoS Origin sebagai gantinya.
- gRPC: Tidak didukung.
- SSE: Didukung.
Berapa waktu batas waktu koneksi default untuk Anti-DDoS Proxy?
- Koneksi TCP Lapisan 4: 900 detik.
- Koneksi HTTP/HTTPS Lapisan 7: 120 detik.
Bagaimana Anti-DDoS Proxy mendukung HTTPS?
- Otentikasi Timbal Balik HTTPS: Didukung. Untuk panduan rinci, lihat Gunakan Anti-DDoS Proxy untuk menerapkan otentikasi timbal balik.
  - Untuk Lapisan 7 (Konfigurasi Situs Web): Agar node Anti-DDoS Proxy dapat menangani validasi sertifikat klien, Anda harus mengunggah sertifikat server dan sertifikat CA klien di Konsol Anti-DDoS Proxy.
  - Untuk Lapisan 4 (Konfigurasi Port): Anti-DDoS Proxy bertindak sebagai lapisan transportasi transparan, dan server asal Anda menangani seluruh proses otentikasi timbal balik.
- Protokol SSL dan Paket Sandi: TLS 1.0 hingga 1.3 didukung. Berbagai paket sandi utama dan warisan, termasuk ECDHE-ECDSA-AES128-GCM-SHA256, juga didukung. Anda dapat menyesuaikan kebijakan keamanan TLS di konsol.
  Untuk informasi lebih lanjut, lihat Sesuaikan Kebijakan Keamanan TLS untuk Sertifikat HTTPS.
- Masalah Kompatibilitas SNI: Jika pengguna dengan browser lama atau klien Android tertentu tidak dapat mengakses situs HTTPS Anda, kemungkinan besar karena klien mereka <tidak mendukung Indikasi Nama Server (SNI). Anti-DDoS Proxy menggunakan SNI untuk menampung beberapa domain HTTPS. Klien yang tidak kompatibel tidak dapat menyelesaikan jabat tangan TLS. Untuk informasi lebih lanjut tentang masalah terkait SNI, lihat Bagaimana cara menangani pengecualian akses HTTPS yang terjadi saat klien tidak mendukung SNI?.

Mekanisme perlindungan dan keamanan

Apa itu Bandwidth Bersih, dan apa yang terjadi jika saya melebihi batas?
Bandwidth Bersih adalah lalu lintas layanan normal yang diarahkan ke instance Anti-DDoS Proxy Anda. Sistem mengukur baik lalu lintas masuk maupun keluar dan menggunakan nilai yang lebih tinggi untuk penagihan, diukur dalam Mbps.
Dampak Melebihi Batas: Jika lalu lintas layanan Anda melebihi spesifikasi Bandwidth Bersih instance Anda, sistem memicu pembatasan laju. Ini dapat menyebabkan latensi layanan, tanggapan lambat, kegagalan koneksi intermiten, atau kehilangan paket acak. Ikuti langkah-langkah berikut untuk menyelesaikan masalah:
1. Konfirmasi Penggunaan Bandwidth Anda
  Di Konsol Anti-DDoS Proxy, navigasikan ke halaman Instance dan pantau grafik bandwidth instance untuk memeriksa apakah penggunaan Anda melebihi spesifikasi yang dibeli.
2. Tingkatkan Instance Segera
  - Tujuan: Tingkatkan batas Bandwidth Bersih untuk memulihkan kinerja layanan.
  - Langkah-Langkah:
    1. Masuk ke Konsol Anti-DDoS Proxy.
    2. Di halaman Instance, temukan instance target, lalu klik Peningkatan di kolom Tindakan.
    3. Di bagian bandwidth bersih, pilih spesifikasi yang lebih tinggi dan selesaikan pembayaran.
  - Waktu Efektif: Perubahan konfigurasi akan berlaku di seluruh jaringan dalam 3-5 menit.
Bagaimana cara menangani Penyaringan Blackhole? Bisakah saya menonaktifkannya secara manual untuk instance saya?
Saat lalu lintas serangan melebihi kemampuan perlindungan maksimum instance Anda, sistem menerapkan Penyaringan Blackhole ke IP instance untuk melindungi stabilitas seluruh pusat data Alibaba Cloud. Semua layanan yang dirutekan melalui instance menjadi sepenuhnya tidak dapat diakses. Ikuti langkah-langkah berikut untuk menyelesaikan masalah:
1. Evaluasi Status Serangan
  Masuk ke Konsol Anti-DDoS Proxy. Di halaman Ikhtisar Keamanan, periksa lalu lintas puncak dan tren serangan untuk memastikan apakah serangan telah berhenti atau melemah.
2. Nonaktifkan Penyaringan Blackhole
  - Instance Anti-DDoS Proxy (Tiongkok Daratan)
    - Tujuan: Pulihkan akses layanan secara manual setelah memastikan bahwa lalu lintas serangan telah turun dalam kemampuan perlindungan instance.
    - Prasyarat: Setiap Akun Alibaba Cloud menerima lima kesempatan per hari untuk menonaktifkan Penyaringan Blackhole secara manual. Hitungan diatur ulang pada 00:00 (UTC+8) setiap hari.
    - Langkah-Langkah: Untuk instruksi rinci tentang cara menonaktifkan Penyaringan Blackhole secara manual, lihat Nonaktifkan Penyaringan Blackhole.
      1. Masuk ke konsol Anti-DDoS Proxy dan navigasikan ke Mitigation Settings > General Policies. Temukan dan pilih instance yang ingin Anda kelola.
      2. Temukan bagian Blackhole Filtering Deactivation untuk instance tersebut dan klik Unblock.
  - Instance Anti-DDoS Proxy (Luar Daratan Tiongkok)
    - Keterbatasan: Deaktivasi manual Penyaringan Blackhole saat ini tidak didukung.
    - Rekomendasi:
      - Rencana Asuransi: Jika Penyaringan Blackhole dipicu karena Anda telah menggunakan semua peristiwa perlindungan lanjutan untuk bulan ini, kami merekomendasikan Anda segera meningkatkan instance ke rencana Tanpa Batas. Penyaringan blackhole secara otomatis dinonaktifkan setelah peningkatan.
      - Rencana Tanpa Batas: Instance ini menyediakan perlindungan lanjutan tanpa batas dan seharusnya tidak tunduk pada Penyaringan Blackhole karena melebihi kemampuan perlindungan. Jika ini terjadi, silakan ajukan tiket.
Mengapa Ikhtisar Keamanan menunjukkan lalu lintas yang telah dibersihkan meskipun ambang batas pembersihan belum tercapai?
Ini adalah perilaku normal. Anti-DDoS Proxy secara otomatis menyaring semua Paket Rusak dari lalu lintas masuk, seperti paket SYN kecil atau paket dengan flag abnormal yang tidak sesuai dengan standar protokol TCP. Paket yang dicegat ini dicatat sebagai "lalu lintas yang telah dibersihkan." Oleh karena itu, Anda mungkin melihat sejumlah kecil lalu lintas yang telah dibersihkan yang tercatat bahkan saat layanan Anda tidak mengalami serangan skala besar.
Apakah Anti-DDoS Proxy mendukung pemblokiran akses dari alamat IP internasional?
Ya. Anti-DDoS Proxy menyediakan Daftar Hitam Lokasi. Anda dapat mengonfigurasi kebijakan kontrol akses berdasarkan negara atau wilayah untuk secara tepat memblokir atau mengizinkan lalu lintas dari alamat IP internasional.
Apakah aman mengunggah sertifikat HTTPS dan kunci privat saya? Apakah Anti-DDoS Proxy mendekripsi dan mencatat isi permintaan HTTPS?
- Keamanan Kunci: Ya, sangat aman. Anti-DDoS Proxy menggunakan server sertifikat khusus (Key Server) untuk menyimpan dan mengelola sertifikat dan kunci privat. Layanan ini dibangun di atas Alibaba Cloud Key Management Service (KMS) dan bersertifikat oleh beberapa otoritas internasional, termasuk ISO 27001, SOC 1/2/3, dan PCI DSS, memastikan keamanan kunci Anda. Ini adalah tingkat keamanan dan kepatuhan yang sama yang melindungi Alibaba Cloud itu sendiri. Untuk detailnya, lihat Pusat Kepercayaan Alibaba Cloud.
- Privasi Lalu Lintas: Isi lengkap tidak dicatat. Anti-DDoS Proxy hanya mendekripsi lalu lintas HTTPS untuk inspeksi real-time. Ini tidak mencatat isi lengkap dari permintaan atau tanggapan. Layanan ini mencatat karakteristik serangan sebagian (muatan) untuk pelaporan dan analisis saja ketika mendeteksi serangan.
Catatan
Saat melindungi layanan HTTPS dengan Anti-DDoS Proxy, Anda juga dapat menggunakan solusi sertifikat ganda. Ini melibatkan penggunaan satu pasangan sertifikat dan kunci di Anti-DDoS Proxy dan pasangan lainnya di server asal Anda (kedua pasangan harus valid). Ini memungkinkan Anda mengelola sertifikat dan kunci yang diunggah ke Anti-DDoS Proxy secara terpisah dari yang ada di server asal Anda.
Apakah port terbuka pada kluster Anti-DDoS Proxy menimbulkan risiko keamanan?
Tidak. Kluster Anti-DDoS Proxy menggunakan port terbuka hanya untuk pemasukan dan penerusan lalu lintas. Lalu lintas layanan hanya diteruskan ke port tertentu yang Anda konfigurasikan untuk domain atau layanan Anda di konsol. Permintaan ke port server asal yang tidak dikonfigurasikan di Anti-DDoS Proxy tidak diteruskan dan oleh karena itu tidak menimbulkan risiko keamanan tambahan.