Anti-DDoS：FAQ untuk Anti-DDoS Pro dan Anti-DDoS Premium

Penagihan Produk dan Spesifikasi

• Apa yang terjadi setelah instans Anti-DDoS Pro atau Anti-DDoS Premium saya kedaluwarsa?

• Apa batasan jumlah port dan nama domain yang dilindungi untuk Anti-DDoS Pro dan Anti-DDoS Premium?

Integrasi dan Konfigurasi

• Bagaimana cara menemukan alamat IP kembali ke asal untuk Anti-DDoS Pro dan Anti-DDoS Premium? Apakah saya perlu menambahkannya ke daftar putih secara manual?

• Dapatkah saya menggunakan alamat IP pribadi sebagai alamat IP asal? Apakah ada penundaan saat saya mengubah alamat IP asal?

• Bagaimana Anti-DDoS Pro dan Anti-DDoS Premium menangani load balancing, pemeriksaan kesehatan, dan persistensi sesi?

• Dapatkah saya menggunakan Anti-DDoS Pro atau Anti-DDoS Premium bersama CDN atau DCDN? Bagaimana cara mengonfigurasinya?

Fitur dan Dukungan Protokol

• Protokol umum apa saja yang didukung oleh Anti-DDoS Pro dan Anti-DDoS Premium?

• Berapa timeout koneksi default untuk Anti-DDoS Pro dan Anti-DDoS Premium?

• Bagaimana Anti-DDoS Pro dan Anti-DDoS Premium mendukung HTTPS?

Mekanisme Perlindungan dan Keamanan

• Apa itu bandwidth bersih, dan apa yang terjadi jika batasnya terlampaui?

• Bagaimana cara menangani penyaringan blackhole? Dapatkah saya menonaktifkan penyaringan blackhole secara manual untuk instans Anti-DDoS Pro atau Anti-DDoS Premium?

• Mengapa halaman Ikhtisar Keamanan menampilkan lalu lintas yang telah dibersihkan meskipun ambang batas pembersihan lalu lintas belum tercapai?

• Apakah Anti-DDoS Pro dan Anti-DDoS Premium mendukung pemblokiran akses dari alamat IP di luar Tiongkok Daratan?

• Apakah aman mengunggah sertifikat HTTPS dan kunci privat? Apakah Anti-DDoS Pro dan Anti-DDoS Premium mendekripsi dan mencatat konten permintaan HTTPS?

• Apakah port terbuka pada kluster Anti-DDoS Pro dan Anti-DDoS Premium menimbulkan risiko keamanan?

Apa yang terjadi setelah instans Anti-DDoS Pro atau Anti-DDoS Premium saya kedaluwarsa?

Topik ini menggunakan Proxy Anti-DDoS (Tiongkok Daratan) sebagai contoh:

• Dalam 7 hari setelah kedaluwarsa: Kemampuan mitigasi instans diturunkan ke tingkat perlindungan dasar dengan ambang pemicu blackhole sebesar 5 Gbps. Jika lalu lintas layanan atau lalu lintas serangan melebihi 5 Gbps, sistem akan memicu penyaringan blackhole untuk alamat IP tersebut.

• Hari ke-8 hingga ke-30 setelah kedaluwarsa: Instans berhenti meneruskan seluruh lalu lintas layanan. Anda dapat memulihkan layanan dengan memperpanjang langganan selama periode ini.

• 31 hari atau lebih setelah kedaluwarsa: Instance dan sumber dayanya dilepaskan secara permanen. Semua konfigurasi hilang dan tidak dapat dipulihkan.

Untuk informasi lebih lanjut, lihat Penagihan Anti-DDoS Pro (Tiongkok Daratan).

Apa batasan jumlah port dan nama domain yang dilindungi untuk Anti-DDoS Pro dan Anti-DDoS Premium?

• Jumlah Port yang Dilindungi:

  • Instans di Tiongkok Daratan: 50 secara default, dapat diperluas hingga 1.500.

  • Instans di luar Tiongkok Daratan: 5 secara default, dapat diperluas hingga 1.500.

• Jumlah nama domain yang dilindungi:

  • Instans di Tiongkok Daratan: 50 secara default, dapat diperluas hingga 200.

  • Instans di luar Tiongkok Daratan: 10 secara default, dapat diperluas hingga 200.

Bagaimana cara menemukan alamat IP kembali ke asal untuk Anti-DDoS Pro dan Anti-DDoS Premium? Apakah saya perlu menambahkannya ke daftar putih secara manual?

• Menemukan alamat IP kembali ke asal: Anda dapat menemukan blok CIDR IP kembali ke asal terbaru di halaman Website Config atau halaman terkait di Konsol Anti-DDoS Pro dan Anti-DDoS Premium.

• Menambahkan ke daftar putih: Ya, Anda harus menambahkannya secara manual. Anti-DDoS Pro dan Anti-DDoS Premium tidak secara otomatis mengubah kebijakan keamanan server asal Anda. Jika server asal Anda menggunakan firewall, grup keamanan, atau perangkat lunak keamanan pihak ketiga, Anda harus menambahkan blok CIDR IP kembali ke asal dari Anti-DDoS Pro dan Anti-DDoS Premium ke daftar putih. Jika tidak, server asal Anda akan memblokir seluruh lalu lintas normal yang diteruskan oleh layanan tersebut.

Dapatkah saya menggunakan alamat IP pribadi sebagai alamat IP asal? Apakah ada penundaan saat saya mengubah alamat IP asal?

• Jenis alamat IP asal: Tidak, Anda tidak dapat melakukannya. Anti-DDoS Pro dan Anti-DDoS Premium berkomunikasi dengan server asal Anda melalui jaringan publik. Oleh karena itu, alamat IP asal harus berupa alamat IP publik.

• Penundaan modifikasi: Ya, ada penundaan. Setelah Anda mengubah alamat IP asal, dibutuhkan sekitar 5 menit agar konfigurasi baru tersebar ke seluruh POP. Untuk meminimalkan dampak pada bisnis, lakukan perubahan ini selama jam sepi.

Bagaimana Anti-DDoS Pro dan Anti-DDoS Premium menangani load balancing, pemeriksaan kesehatan, dan persistensi sesi?

• Load balancing: Saat Anda mengonfigurasi beberapa alamat IP asal:

  • Untuk Lapisan 7 (layanan website): Algoritma Round Robin, IP Hash, dan Least Time didukung.

  • Untuk Lapisan 4 (layanan non-website): Algoritma default adalah Round Robin. Anda tidak dapat mengubah algoritma tersebut.

• Pemeriksaan kesehatan: Pemeriksaan kesehatan didukung. Fitur ini diaktifkan secara default untuk layanan website dan dinonaktifkan secara default untuk layanan non-website, tetapi Anda dapat mengaktifkannya secara manual. Layanan ini memantau kesehatan server asal Anda dan secara otomatis menghapus alamat IP asal yang tidak sehat dari rotasi.

  Catatan

  Untuk informasi lebih lanjut tentang pemeriksaan kesehatan, lihat Ikhtisar pemeriksaan kesehatan SLB dan Konfigurasi pemeriksaan kesehatan.

• Persistensi sesi: Persistensi sesi didukung untuk konfigurasi penerusan port. Fitur ini dinonaktifkan jika perlindungan lapisan aplikasi diaktifkan. Saat persistensi sesi diaktifkan, layanan secara konsisten meneruskan permintaan dari alamat IP klien yang sama ke server backend yang sama selama periode tertentu. Untuk langkah-langkah spesifik, lihat Konfigurasi persistensi sesi.

  Catatan

  Jika lingkungan jaringan klien berubah, misalnya beralih dari Wi-Fi ke 4G, alamat IP publiknya berubah. Hal ini menyebabkan persistensi sesi gagal.

Dapatkah saya menggunakan Anti-DDoS Pro atau Anti-DDoS Premium dengan CDN atau DCDN? Bagaimana cara mengonfigurasinya?

Ya, Anda dapat melakukannya, tetapi penggabungan langsung sangat tidak disarankan. Metode yang benar adalah menggunakan solusi integrasi cerdas yang disediakan oleh Anti-DDoS Pro dan Anti-DDoS Premium, yang menyeimbangkan percepatan dan perlindungan.

• Metode Rantai Langsung:

  • Alur lalu lintas: CDN/DCDN ke Anti-DDoS Pro/Premium: Jika POP CDN/DCDN diserang, mereka mungkin dimasukkan ke dalam sandbox. Hal ini mencegah lalu lintas mencapai Anti-DDoS Pro atau Anti-DDoS Premium dan membuat perlindungan menjadi tidak efektif.

  • Alur lalu lintas: Anti-DDoS Pro/Premium ke CDN/DCDN: Jalur kembali ke asal melalui Anti-DDoS Pro atau Anti-DDoS Premium menambah latensi, yang berdampak negatif pada kinerja percepatan CDN/DCDN.

• Solusi integrasi: Gunakan Sec-Traffic Manager, yang tersedia dalam Rencana fungsi ditingkatkan dari Anti-DDoS Pro dan Anti-DDoS Premium, untuk mengintegrasikan dengan CDN/DCDN.

  • Cara kerja: Arahkan nama domain Anda ke rekaman CNAME yang dihasilkan oleh Sec-Traffic Manager. Dalam kondisi normal, lalu lintas diarahkan melalui CDN/DCDN untuk percepatan. Saat serangan terdeteksi, lalu lintas secara otomatis dialihkan ke Anti-DDoS Pro atau Anti-DDoS Premium untuk pembersihan lalu lintas. Setelah serangan berakhir, pengarahan lalu lintas kembali ke CDN/DCDN.

  • Manfaat: Solusi ini memberikan pengalaman pengguna yang cepat untuk akses normal dan ketersediaan tinggi selama serangan.

Protokol umum apa saja yang didukung oleh Anti-DDoS Pro dan Anti-DDoS Premium?

• IPv6: Anti-DDoS Pro (Tiongkok Daratan) mendukung IPv6. Anti-DDoS Premium (luar Tiongkok Daratan) saat ini tidak mendukung IPv6.

• WebSocket: WebSocket didukung. Untuk informasi lebih lanjut, lihat Konfigurasi WebSocket untuk Anti-DDoS Pro dan Anti-DDoS Premium.

• Otentikasi NTLM: Otentikasi NTLM tidak didukung. Permintaan yang diteruskan melalui Anti-DDoS Pro atau Anti-DDoS Premium mungkin gagal dalam otentikasi NTLM di server asal. Gunakan Anti-DDoS Origin sebagai gantinya.

• gRPC: gRPC tidak didukung.

• Server-Sent Events (SSE): SSE didukung.

Berapa timeout koneksi default untuk Anti-DDoS Pro dan Anti-DDoS Premium?

• Koneksi TCP Lapisan 4: 900 detik.

• Koneksi HTTP/HTTPS Lapisan 7: 120 detik.

Bagaimana Anti-DDoS Pro dan Anti-DDoS Premium mendukung HTTPS?

• Otentikasi timbal balik HTTPS: Otentikasi timbal balik HTTPS didukung. Untuk panduan lengkap, lihat Gunakan Anti-DDoS Pro dan Anti-DDoS Premium untuk menerapkan otentikasi timbal balik HTTPS.

  • Untuk Lapisan 7 (Website Config): Anda harus mengunggah sertifikat sisi server dan sertifikat CA klien di konsol. POP Anti-DDoS menangani validasi sertifikat klien.

  • Untuk Lapisan 4 (Port Config): Layanan bertindak sebagai saluran transport transparan, dan server asal Anda menangani seluruh proses otentikasi timbal balik.

• Protokol SSL dan paket sandi: TLS 1.0 hingga 1.3 didukung. Berbagai paket sandi utama dan lawas, termasuk ECDHE-ECDSA-AES128-GCM-SHA256, juga didukung. Anda dapat menyesuaikan kebijakan keamanan TLS di konsol.

  Untuk informasi lebih lanjut, lihat Sesuaikan Kebijakan Keamanan TLS untuk Sertifikat HTTPS.

• Masalah kompatibilitas SNI: Jika pengguna dengan browser lama atau klien Android tertentu tidak dapat mengakses situs HTTPS Anda, kemungkinan besar karena klien mereka tidak mendukung Server Name Indication (SNI). Anti-DDoS Pro dan Anti-DDoS Premium menggunakan SNI untuk menghosting beberapa nama domain HTTPS. Klien yang tidak kompatibel tidak dapat menyelesaikan proses jabat tangan TLS. Untuk informasi lebih lanjut tentang masalah terkait SNI, lihat Pengecualian akses HTTPS yang mungkin disebabkan oleh SNI.

Apa itu bandwidth bersih, dan apa yang terjadi jika batasnya terlampaui?

Bandwidth bersih adalah lalu lintas layanan normal yang diarahkan ke layanan yang dilindungi Anda. Sistem mengukur lalu lintas arah masuk dan arah keluar, lalu menggunakan nilai yang lebih tinggi untuk penagihan, diukur dalam Mbit/s.

Dampak melebihi batas: Jika lalu lintas layanan aktual Anda melebihi spesifikasi bandwidth bersih instans Anda, sistem memulai pembatasan laju. Hal ini dapat menyebabkan layanan tersendat, respons lambat, kegagalan koneksi intermiten, atau kehilangan paket acak. Atasi masalah sebagai berikut:

1. Konfirmasi penggunaan bandwidth AndaDi Konsol Anti-DDoS Pro dan Anti-DDoS Premium, buka halaman Instances. Pantau grafik bandwidth instans untuk memeriksa apakah penggunaan Anda melebihi spesifikasi yang dibeli.

2. Emergency Instance Upgrade

   • Tujuan: Tingkatkan batas bandwidth bersih untuk memulihkan kinerja layanan.

   • Langkah-langkah:

     1. Masuk ke Konsol Anti-DDoS Pro dan Anti-DDoS Premium.

     2. Di halaman Instances, temukan instans target, lalu klik Upgrade di kolom Actions.

     3. Di bagian Clean Bandwidth, pilih spesifikasi yang lebih tinggi dan selesaikan pembayaran.

   • Waktu berlaku: Perubahan konfigurasi berlaku di seluruh jaringan dalam waktu 3 hingga 5 menit.

Bagaimana cara menangani penyaringan blackhole? Dapatkah saya menonaktifkan penyaringan blackhole secara manual untuk instans Anti-DDoS Pro atau Anti-DDoS Premium?

Saat lalu lintas serangan melebihi kemampuan mitigasi maksimum instans Anda, sistem menerapkan penyaringan blackhole pada alamat IP instans tersebut untuk melindungi stabilitas seluruh pusat data Alibaba Cloud. Semua layanan yang diarahkan melalui instans tersebut menjadi sepenuhnya tidak dapat diakses. Atasi masalah sebagai berikut:

1. Nilai status seranganMasuk ke Konsol Anti-DDoS Pro dan Anti-DDoS Premium. Di halaman Security Overview, periksa lalu lintas puncak dan tren serangan untuk memastikan apakah serangan telah berhenti atau melemah.

2. Nonaktifkan penyaringan blackhole

   • Instans Anti-DDoS Pro (Tiongkok Daratan)

     • Tujuan: Pulihkan akses layanan secara manual setelah Anda memastikan bahwa lalu lintas serangan telah turun ke level yang masih dalam kemampuan mitigasi instans.

     • Prasyarat: Setiap Akun Alibaba Cloud memiliki lima kesempatan per hari untuk menonaktifkan penyaringan blackhole secara manual. Jumlah ini diatur ulang setiap pukul 00.00.

     • Langkah-langkah: Untuk petunjuk lengkap tentang cara menonaktifkan penyaringan blackhole secara manual, lihat Nonaktifkan penyaringan blackhole.

       1. Masuk ke Konsol Anti-DDoS Pro dan Anti-DDoS Premium. Di panel navigasi sebelah kiri, pilih Mitigation Settings > General Policies. Di halaman yang muncul, temukan dan pilih instans yang ingin Anda nonaktifkan penyaringan blackholenya.

       2. Di bagian Blackhole Filtering Deactivation untuk instans tersebut, klik Unblock.

   • Instans Anti-DDoS Premium (luar Tiongkok Daratan)

     • Batasan: Penonaktifan manual penyaringan blackhole saat ini tidak didukung.

     • Saran:

       • Rencana Insurance: Jika penyaringan blackhole dipicu karena Anda telah menghabiskan semua sesi mitigasi lanjutan bulanan Anda, segera tingkatkan instans ke rencana Unlimited. Penyaringan blackhole akan dinonaktifkan secara otomatis setelah peningkatan.

       • Rencana Unlimited: Instans ini menyediakan mitigasi lanjutan tanpa batas dan seharusnya tidak terkena penyaringan blackhole akibat melebihi kemampuan mitigasi. Jika hal ini terjadi, kirimkan tiket.

Mengapa halaman Ikhtisar Keamanan menampilkan lalu lintas yang telah dibersihkan meskipun ambang batas pembersihan lalu lintas belum tercapai?

Ini merupakan perilaku normal. Anti-DDoS Pro dan Anti-DDoS Premium secara otomatis menyaring seluruh paket jaringan yang cacat dari lalu lintas masuk, seperti paket SYN kecil atau paket dengan flag abnormal yang tidak sesuai dengan standar protokol TCP. Paket-paket yang dicegat ini dihitung sebagai "lalu lintas yang telah dibersihkan." Oleh karena itu, Anda mungkin melihat jumlah kecil lalu lintas yang telah dibersihkan bahkan saat layanan Anda tidak mengalami serangan skala besar.

Apakah Anti-DDoS Pro dan Anti-DDoS Premium mendukung pemblokiran akses dari alamat IP di luar Tiongkok Daratan?

Ya, mereka mendukungnya. Anti-DDoS Pro dan Anti-DDoS Premium menyediakan fitur Location Blacklist. Anda dapat mengonfigurasi kebijakan kontrol akses berdasarkan negara atau wilayah untuk secara tepat memblokir atau mengizinkan lalu lintas dari alamat IP di luar Tiongkok Daratan.

Apakah aman mengunggah sertifikat HTTPS dan kunci privat? Apakah Anti-DDoS Pro dan Anti-DDoS Premium mendekripsi dan mencatat konten permintaan HTTPS?

• Keamanan kunci: Ya, sangat aman. Anti-DDoS Pro dan Anti-DDoS Premium menggunakan server sertifikat khusus (Key Server) untuk menyimpan dan mengelola sertifikat serta kunci privat. Layanan ini dibangun di atas Key Management Service (KMS) Alibaba Cloud dan telah disertifikasi oleh berbagai otoritas keamanan internasional, seperti ISO 27001, SOC 1/2/3, dan PCI DSS, untuk menjamin keamanan kunci. Ini adalah tingkat keamanan dan kepatuhan yang sama yang melindungi Alibaba Cloud itu sendiri. Untuk detailnya, lihat Alibaba Cloud Trust Center.

• Privasi lalu lintas: Tidak, mereka tidak mencatat konten lengkap permintaan. Anti-DDoS Pro dan Anti-DDoS Premium hanya mendekripsi lalu lintas HTTPS untuk inspeksi real-time. Mereka tidak mencatat konten lengkap permintaan atau tanggapan. Layanan ini hanya mencatat karakteristik serangan sebagian (muatan) untuk analisis laporan saat serangan terdeteksi.

Apakah port terbuka pada kluster Anti-DDoS Pro dan Anti-DDoS Premium menimbulkan risiko keamanan?

Tidak, mereka tidak menimbulkan risiko. Kluster Anti-DDoS Pro dan Anti-DDoS Premium hanya menggunakan port terbuka untuk penerimaan dan penerusan lalu lintas. Lalu lintas layanan hanya diteruskan ke port spesifik yang Anda konfigurasikan untuk nama domain atau layanan Anda di konsol. Permintaan ke port server asal yang tidak dikonfigurasi dalam layanan tidak akan diteruskan. Oleh karena itu, mereka tidak menimbulkan risiko keamanan tambahan.