Cara meminta peristiwa serangan di halaman Analisis Serangan - Anti-DDoS

Setelah menambahkan layanan Anda ke instance Anti-DDoS Proxy, Anda dapat melihat peristiwa dan detail serangan yang terdeteksi pada instance tersebut. Informasi seperti alamat IP sumber serangan, distribusi jenis serangan, serta distribusi serangan berdasarkan lokasi sumber tersedia untuk membantu memastikan proses perlindungan transparan dan meningkatkan pengalaman analisis perlindungan. Anda juga dapat menentukan konfigurasi kustom. Topik ini menjelaskan cara meminta peristiwa serangan di halaman Analisis Serangan.

Jenis Peristiwa Serangan

Jenis Peristiwa Serangan	Deskripsi
Web Resource Exhaustion	Penyerang mensimulasikan pengguna reguler untuk mengirim permintaan layanan ke layanan web yang nama domainnya ditambahkan ke instance Anti-DDoS Proxy. Penyerang sering mengakses halaman-halaman yang mengonsumsi sejumlah besar sumber daya di layanan web tersebut. Akibatnya, sumber daya server habis, dan layanan web tidak dapat merespons permintaan layanan normal. Jika penyerang mengirim permintaan layanan ke beberapa nama domain yang ditambahkan ke instance Anti-DDoS Proxy secara bersamaan, beberapa peristiwa serangan Kehabisan Sumber Daya Web akan dicatat.
Connection Type	Penyerang membuat koneksi TCP atau UDP ke port layanan yang ditambahkan ke instance Anti-DDoS Proxy. Akibatnya, server layanan menjadi kelebihan beban dan tidak dapat memproses permintaan koneksi baru, serta kemungkinan terjadinya kegagalan layanan. Jika penyerang mengirim permintaan koneksi ke beberapa port layanan yang ditambahkan ke instance Anti-DDoS Proxy secara bersamaan, beberapa peristiwa serangan banjir koneksi akan dicatat.
Volumetric	Penyerang mengirim banyak permintaan layanan dari sejumlah besar server zombie ke alamat IP instance Anti-DDoS Proxy secara bersamaan. Akibatnya, perangkat jaringan dan server menjadi kelebihan beban, serta kemungkinan terjadinya kemacetan jaringan dan kegagalan layanan. Jika penyerang mengirim permintaan layanan ke alamat IP beberapa instance Anti-DDoS Proxy secara bersamaan, beberapa peristiwa serangan volumetrik akan dicatat. Catatan Secara default, Anti-DDoS Proxy hanya menghasilkan peristiwa serangan ketika lalu lintas masuk melebihi 1 Gbit/s dan lalu lintas yang dibersihkan mencapai 100 Mbit/s. Dengan cara ini, lebih sedikit peristiwa serangan yang dihasilkan. Jika lalu lintas masuk aktual kurang dari ambang batas sebelumnya, tidak ada peristiwa serangan yang dihasilkan. Anda dapat mengonfigurasi ambang batas peringatan kustom berdasarkan kebutuhan bisnis Anda. Untuk mengonfigurasi ambang batas peringatan kustom, klik Tetapkan Ambang Batas Peringatan di halaman Ikhtisar Keamanan. Ambang batas peringatan kustom membantu menyelesaikan masalah bahwa tidak ada peristiwa serangan yang dihasilkan ketika lalu lintas yang dibersihkan ditampilkan di konsol.

Prasyarat

Instance Anti-DDoS Proxy (Tiongkok Daratan) atau Anti-DDoS Proxy (Luar Tiongkok Daratan) telah dibeli. Untuk informasi lebih lanjut, lihat Beli instance Anti-DDoS Proxy.
Layanan website atau non-website telah ditambahkan ke Anti-DDoS Proxy. Untuk informasi lebih lanjut, lihat Tambahkan website atau Kelola aturan pengalihan.

Minta peristiwa serangan

Masuk ke Konsol Anti-DDoS Proxy.
Di bilah navigasi atas, pilih wilayah instance Anda.
- Anti-DDoS Proxy (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
- Anti-DDoS Proxy (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.
Di panel navigasi kiri, pilih Investigation > Attack Analysis.
Di halaman Attack Analysis, pilih jenis serangan dan rentang waktu untuk meminta peristiwa serangan.
Catatan
Anda hanya dapat meminta peristiwa serangan hingga 180 hari sebelumnya.
Opsional. Klik View Details di kolom Actions untuk melihat detail peristiwa serangan.
Di sudut kanan atas halaman Event Details, Anda dapat mengklik Export Report, lalu klik Export Image atau Export to PDF untuk menyimpan halaman detail peristiwa saat ini ke komputer Anda dalam format PNG atau PDF.

Jika Anda memiliki saran atau pertanyaan tentang efek perlindungan suatu peristiwa serangan, Anda dapat mengklik Effect Feedback di kolom Actions peristiwa serangan. Kami akan terus mengoptimalkan dan meningkatkan efek perlindungan berdasarkan saran Anda.

Detail peristiwa serangan

Kehabisan Sumber Daya Web

Anda dapat melihat detail peristiwa dan mengonfigurasi item perlindungan spesifik untuk nama domain layanan.

Informasi	Deskripsi
Informasi dasar tentang peristiwa serangan	Attack Time: titik waktu ketika serangan terjadi. Attack Target: nama domain yang diserang. Anda dapat mengklik Mitigation Settings di sebelah kanan Attack Target. Di tab Protection for Website Services pada halaman yang muncul, Anda dapat mengonfigurasi pengaturan mitigasi untuk nama domain yang diserang. Untuk informasi lebih lanjut, lihat Perlindungan DDoS untuk layanan website. Maximum Requests: jumlah puncak permintaan selama serangan. Total Received Requests: total jumlah permintaan yang diterima dalam periode waktu sebelum dan sesudah serangan. Berikut adalah deskripsi rentang waktu untuk statistik: Waktu mulai: titik waktu setengah jam lebih awal dari waktu terjadinya serangan yang dibulatkan ke setengah jam sebelumnya. Contohnya, jika serangan terjadi pada pukul 11:20, waktu kejadian dibulatkan ke 11:00. Jadi, waktu mulai adalah 10:30. Jika serangan terjadi pada pukul 11:40, waktu kejadian dibulatkan ke 11:30. Jadi, waktu mulai adalah 11:00. Waktu akhir: titik waktu setengah jam setelah waktu berakhirnya serangan yang dibulatkan ke setengah jam berikutnya. Contohnya, jika serangan berakhir pada pukul 12:20, waktu berakhirnya serangan dibulatkan ke 12:30. Jadi, waktu akhir adalah 13:00. Jika serangan berakhir pada pukul 12:40, waktu berakhirnya serangan dibulatkan ke 13:00. Jadi, waktu akhir adalah 13:30. Total Blocked Requests: jumlah permintaan yang diblokir oleh instance Anti-DDoS Proxy selama serangan.
Attack Mitigation Details	Bagian ini menampilkan total permintaan masuk per detik (QPS), tren QPS yang memicu kebijakan modul mitigasi yang berbeda selama serangan, dan Effective Time of Policy dan Blocked Requests dari kebijakan yang dipicu. Di sudut kanan atas bagian Detail Mitigasi Serangan, Anda dapat menentukan rentang waktu untuk meminta. Modul mitigasi termasuk Blacklist, Location Blacklist, Frequency Control, Accurate Access Control, dan Others. Modul mitigasi Lainnya memblokir permintaan seperti permintaan yang gagal verifikasi CAPTCHA. Untuk informasi lebih lanjut tentang cara mengonfigurasi modul perlindungan yang berbeda, lihat Perlindungan DDoS untuk layanan website.
Blocked Requests by Protection Module	Bagian ini menampilkan distribusi permintaan serangan yang diblokir oleh modul perlindungan yang berbeda. Anda dapat mengklik Mitigation Settings di sudut kanan atas bagian Permintaan Diblokir oleh Modul Perlindungan dan mengonfigurasi pengaturan untuk modul perlindungan yang berbeda. Untuk informasi lebih lanjut tentang cara mengonfigurasi modul perlindungan yang berbeda, lihat Perlindungan DDoS untuk layanan website.
Top 10 Hit Policies	Bagian ini menampilkan 10 kebijakan mitigasi yang paling sering dipukul dan jumlah pemukulan. Anda dapat mengklik More untuk melihat pemukulan dari 100 kebijakan mitigasi yang paling sering dipukul. Anda dapat mengklik Mitigation Settings di sudut kanan atas bagian 10 Kebijakan Teratas yang Dipukul dan mengonfigurasi kebijakan untuk modul perlindungan yang berbeda. Untuk informasi lebih lanjut tentang cara mengonfigurasi modul perlindungan yang berbeda, lihat Perlindungan DDoS untuk layanan website.
Source Location	Bagian ini menampilkan distribusi permintaan serangan berdasarkan lokasi sumber. Anda dapat beralih antara Global dan Chinese Mainland untuk melihat lokasi berdasarkan negara atau berdasarkan wilayah administratif di Tiongkok. Anda dapat mengklik More untuk melihat proporsi permintaan serangan dari lokasi sumber yang berbeda. Jika Anda ingin memblokir permintaan dari lokasi tertentu, klik Mitigation Settings di sudut kanan atas bagian Lokasi Sumber. Kemudian, konfigurasikan fitur Location Blacklist. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur daftar hitam lokasi (nama domain).
URL	Bagian ini menampilkan lima URL teratas yang menerima permintaan paling banyak. URL ditampilkan dalam urutan menurun berdasarkan jumlah permintaan yang diterima. Anda dapat mengklik More untuk melihat semua URL yang diminta dan jumlah permintaan URL tersebut. Setelah Anda mengklik Lebih Banyak, URI yang diminta dan nama domain tempat URI tersebut berada akan ditampilkan. Jika Anda ingin mengonfigurasi pengaturan pembatasan laju untuk URI tertentu, klik Mitigation Settings di sudut kanan atas bagian URL. Kemudian, konfigurasikan fitur Frequency Control. Untuk informasi lebih lanjut, lihat Konfigurasikan kontrol frekuensi.
URI Response Time	Bagian ini menampilkan lima URI dengan waktu tanggapan maksimum. Waktu tanggapan URI adalah total waktu dari saat klien mengirim permintaan untuk mendapatkan sumber daya URI tertentu hingga saat klien menerima respons dari server dan permintaan selesai. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
Attacker IP Address	Bagian ini menampilkan 10 alamat IP teratas dari mana koneksi mencurigakan paling banyak dibuat dan lokasi tempat alamat IP tersebut berada. Anda dapat mengklik More untuk melihat informasi tentang 100 alamat IP sumber teratas. Catatan Anda hanya dapat melihat 100 alamat IP sumber serangan teratas. Jika Anda ingin memblokir lalu lintas dari alamat IP tertentu, klik Mitigation Settings di sudut kanan atas bagian Alamat IP Penyerang. Kemudian, konfigurasikan fitur Blacklist and Whitelist. Untuk informasi lebih lanjut, lihat Konfigurasikan daftar hitam dan daftar putih untuk nama domain.
User-Agent	Bagian ini menampilkan lima entri User-Agent yang paling sering terdapat dalam permintaan. User-Agent menunjukkan informasi terkait browser seperti pengenal browser, pengenal mesin rendering, dan informasi versi klien yang memulai permintaan akses. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
Referer	Bagian ini menampilkan lima entri Referer yang paling sering terdapat dalam permintaan akses. Referer menunjukkan URL sumber dari permintaan akses. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
HTTP-Method	Bagian ini menampilkan lima metode permintaan yang paling sering digunakan dalam permintaan akses. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
Client Fingerprint	Bagian ini menampilkan lima sidik jari klien yang paling sering digunakan dalam permintaan akses. Sidik jari klien dihitung menggunakan algoritma yang dikembangkan oleh Alibaba Cloud berdasarkan sidik jari TLS klien yang memulai permintaan. Sidik jari klien digunakan untuk mencocokkan permintaan akses untuk perlindungan. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
HTTP/2 Fingerprint	Bagian ini menampilkan lima sidik jari HTTP/2 yang paling sering digunakan dalam permintaan akses. Sidik jari HTTP/2 digunakan untuk mencocokkan permintaan akses HTTP/2 untuk perlindungan. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
JA3 Fingerprint	Bagian ini menampilkan lima sidik jari JA3 yang paling sering digunakan dalam permintaan akses. Mereka membantu mengidentifikasi dan membedakan berbagai klien TLS, seperti browser web, aplikasi seluler, dan malware. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.
JA4 Fingerprint	Bagian ini menunjukkan lima sidik jari JA4 yang paling sering digunakan dalam permintaan akses. JA4 memberikan informasi kontekstual tambahan dan algoritma, seperti versi browser dan sistem operasi, untuk mengurangi masalah redundansi dengan sidik jari JA3, memungkinkan identifikasi yang lebih akurat antara pengguna asli dan peniru serta menurunkan tingkat positif palsu. Anda dapat mengonfigurasi fitur mitigasi serangan HTTP flood berdasarkan bagian ini. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood.

Tipe Koneksi

Anda dapat melihat detail peristiwa dan mengonfigurasi item perlindungan spesifik untuk instance Anti-DDoS Proxy.

Informasi	Deskripsi
Attack Time	Titik waktu ketika serangan terjadi.
Attack Target	Alamat IP dan port instance yang diserang. Anda dapat mengklik Mitigation Settings di sebelah kanan Attack Target. Di tab Protection for Infrastructure pada halaman yang muncul, Anda dapat mengonfigurasi pengaturan mitigasi untuk instance yang diserang. Untuk informasi lebih lanjut, lihat Perlindungan untuk infrastruktur.
Attack Mitigation Details	Bagian ini menampilkan tren New Connections dan Concurrent Connections. Di sudut kanan atas bagian Detail Mitigasi Serangan, Anda dapat menentukan rentang waktu untuk meminta. Tren koneksi baru menampilkan koneksi mencurigakan yang diblokir oleh pengaturan mitigasi yang berbeda. Pengaturan mitigasi termasuk Blacklist, Location Blacklist, dan Rate Limit for Source. Pengaturan Batas Laju untuk Sumber mencakup New Connections Limit for Source, Concurrent Connections Limit for Source, PPS Limit for Source, dan Bandwidth Limit for Source. Untuk informasi lebih lanjut tentang cara mengonfigurasi pengaturan mitigasi, lihat Konfigurasikan daftar hitam dan daftar putih untuk alamat IP, Konfigurasikan fitur daftar hitam lokasi, dan Konfigurasikan batas kecepatan untuk alamat IP sumber. Tren koneksi bersamaan menampilkan Active dan Inactive koneksi.
Attack Source IP Addresses	Bagian ini menampilkan lima alamat IP teratas dari mana koneksi mencurigakan paling banyak dibuat dan lokasi tempat alamat IP tersebut berada. Anda dapat mengklik More untuk melihat informasi tentang 100 alamat IP sumber serangan teratas. Catatan Anda hanya dapat melihat 100 alamat IP sumber serangan teratas. Jika Anda ingin memblokir lalu lintas dari alamat IP tertentu, Anda dapat mengonfigurasi fitur Blacklist and Whitelist (IP address-based) untuk instance yang diserang. Untuk informasi lebih lanjut, lihat Konfigurasikan daftar hitam dan daftar putih untuk alamat IP.
Attack Type	Bagian ini menampilkan distribusi permintaan serangan berdasarkan protokol. Anda dapat mengklik More untuk melihat proporsi permintaan serangan dari protokol yang berbeda.
Attack Source Location	Bagian ini menampilkan distribusi permintaan serangan berdasarkan lokasi sumber. Anda dapat mengklik More untuk melihat proporsi permintaan serangan dari lokasi sumber yang berbeda. Jika Anda ingin memblokir permintaan dari lokasi tertentu, Anda dapat mengonfigurasi fitur Location Blacklist untuk instance yang diserang. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur daftar hitam lokasi.

Volumetrik

Anda dapat melihat detail peristiwa dan mengonfigurasi item perlindungan spesifik untuk instance Anti-DDoS Proxy.

Informasi	Deskripsi
Attack Time	Titik waktu ketika serangan terjadi.
Attack Target	Alamat IP instance yang diserang. Anda dapat mengklik Mitigation Settings di sebelah kanan Attack Target. Di tab Protection for Infrastructure pada halaman yang muncul, Anda dapat mengonfigurasi pengaturan mitigasi untuk instance yang diserang. Untuk informasi lebih lanjut, lihat Perlindungan untuk infrastruktur.
Attack Mitigation Details	Tab bps menampilkan tren bandwidth masuk dan keluar serta bandwidth pembersihan lalu lintas. Tab pps menampilkan tren paket masuk dan keluar serta paket pembersihan lalu lintas. Catatan Peringatan dihasilkan hanya ketika inbound traffic is no less than 1 Gbit/s dan scrubbed traffic exceeds 100 Mbit/s.
Source IP Address	Bagian ini menampilkan 10 alamat IP teratas dari mana permintaan paling banyak dimulai dan lokasi tempat alamat IP tersebut berada. Anda dapat mengklik More untuk melihat informasi tentang 100 alamat IP sumber teratas. Catatan 100 alamat IP sumber teratas mencakup hanya alamat IP sumber serangan. Jika Anda ingin memblokir lalu lintas dari alamat IP tertentu, klik Blacklist Settings di sudut kiri bawah bagian Alamat IP Sumber. Kemudian, konfigurasikan fitur Blacklist and Whitelist (IP address-based). Untuk informasi lebih lanjut, lihat Konfigurasikan daftar hitam dan daftar putih untuk alamat IP.
Attack Source ISP	Bagian ini menampilkan distribusi permintaan serangan berdasarkan penyedia layanan internet (ISP) dari mana lalu lintas serangan berasal. Anda dapat mengklik More untuk melihat proporsi permintaan serangan dari ISP yang berbeda. Catatan Lalu lintas yang ditampilkan mencakup hanya lalu lintas serangan. Bagian ISP Sumber Serangan tersedia hanya di konsol Anti-DDoS Proxy (Tiongkok Daratan).
Attack Source Location	Bagian ini menampilkan distribusi permintaan serangan berdasarkan lokasi sumber. Anda dapat mengklik More untuk melihat proporsi permintaan serangan dari lokasi sumber yang berbeda. Jika Anda ingin memblokir lalu lintas dari lokasi tertentu, klik Location Blacklist Settings di sudut kiri bawah bagian Lokasi Sumber Serangan. Kemudian, konfigurasikan fitur Location Blacklist. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur daftar hitam lokasi. Catatan Lalu lintas yang ditampilkan mencakup hanya lalu lintas serangan.
Attack Type	Bagian ini menampilkan distribusi permintaan masuk berdasarkan protokol. Anda dapat mengklik More untuk melihat proporsi permintaan dari protokol yang berbeda. Catatan Permintaan masuk mencakup baik permintaan serangan maupun normal.
Destination Port	Bagian ini menunjukkan proporsi port tujuan untuk setiap permintaan masuk. Klik More untuk melihat proporsi setiap port tujuan. Catatan Permintaan masuk mencakup baik permintaan serangan maupun normal.