Setelah menambahkan layanan Anda ke Anti-DDoS Pro atau Anti-DDoS Premium, jika lalu lintas serangan tidak disaring dan langsung menargetkan server asal, alamat IP server asal mungkin telah terpapar. Dalam situasi ini, Anda perlu mengubah alamat IP server asal.
Periksa risiko yang menyebabkan paparan alamat IP
Sebelum mengubah alamat IP server asal, pastikan Anda menghilangkan semua risiko untuk mencegah paparan ulang alamat IP tersebut. Berikut adalah beberapa risiko yang perlu diperiksa:
Periksa apakah server asal memiliki risiko keamanan seperti trojan atau backdoor.
Kami merekomendasikan penggunaan Alibaba Cloud Security Center untuk memeriksa dan memperbaiki kerentanan keamanan. Untuk informasi lebih lanjut, lihat Apa itu Security Center?.
Periksa apakah server asal menjalankan layanan yang belum ditambahkan ke Anti-DDoS Pro atau Anti-DDoS Premium. Contohnya, Anda mungkin telah menambahkan catatan MX untuk mengonfigurasi server email atau catatan DNS lainnya untuk mengonfigurasi situs web BBS pada server asal.
PentingPastikan tidak ada catatan DNS yang memetakan nama domain ke alamat IP server asal.
Periksa apakah kode sumber situs web terpapar. Sebagai contoh, fungsi
phpinfo()mungkin berisi alamat IP server asal.Periksa apakah server asal mengalami pemindaian jahat. Anda dapat membatasi lalu lintas masuk hanya dari alamat IP kembali ke asal Anti-DDoS Pro atau Anti-DDoS Premium untuk mengakses server asal. Untuk informasi lebih lanjut, lihat Konfigurasikan ACL untuk Server Asal.
Ubah alamat IP server asal
Setelah menghilangkan semua risiko yang dapat menyebabkan paparan, Anda dapat mengubah alamat IP server asal. Untuk informasi lebih lanjut, lihat Ubah Alamat IP Publik Statis.
Jika Anda tidak ingin mengubah alamat IP atau alamat IP baru juga terpapar, kami merekomendasikan penerapan instance SLB untuk menghubungkan instance ECS. Untuk informasi lebih lanjut, lihat Pengenalan Cepat SLB. Anda dapat menggunakan arsitektur jaringan berikut: Klien > Anti-DDoS Pro atau Anti-DDoS Premium > Instance SLB > Instance ECS.
Dalam arsitektur ini, meskipun server asal mengalami serangan yang memicu penyaringan blackhole, layanan tetap tidak terganggu. Lalu lintas dari instance SLB ke server asal ditransmisikan melalui jaringan internal. Jika penyaringan blackhole dipicu untuk alamat IP publik server asal, Anti-DDoS Pro atau Anti-DDoS Premium masih dapat mengakses server asal melalui instance SLB.
Untuk menerapkan arsitektur jaringan di atas, Anda harus mengatur alamat server asal ke alamat IP instance SLB di konsol Anti-DDoS Pro atau Anti-DDoS Premium.