Anti-DDoS Proxy memungkinkan Anda mengonfigurasi kebijakan mitigasi DDoS untuk melindungi layanan non-situs web dari serangan DDoS Lapisan 4. Kebijakan ini mencakup fitur-fitur seperti sumber palsu, koneksi kosong, batas laju untuk sumber, dan batas kecepatan untuk tujuan. Topik ini menjelaskan cara menambahkan kebijakan mitigasi DDoS.
Pendahuluan
Untuk layanan non-situs web, kebijakan mitigasi DDoS dikonfigurasi berdasarkan alamat IP dan port. Untuk mengurangi serangan DDoS berbasis koneksi, Anda dapat mengonfigurasi laju permintaan, panjang paket, dan parameter lainnya sesuai dengan kebutuhan bisnis Anda. Kebijakan mitigasi DDoS hanya berlaku untuk port.
Anti-DDoS Proxy memungkinkan Anda mengonfigurasi fitur-fitur berikut dalam kebijakan mitigasi DDoS untuk layanan non-situs web:
False Source: Memverifikasi dan menyaring serangan DDoS yang diluncurkan dari alamat IP yang dipalsukan.
Advanced Attack Mitigation: Mendeteksi dan mengurangi serangan DDoS yang secara cepat mengirim sejumlah besar paket abnormal setelah jabat tangan tiga arah TCP, biasanya berasal dari jaringan bot seperti Mirai.
CatatanInstans Anti-DDoS Pro yang menggunakan alamat IPv4 dapat mengonfigurasi fitur ini, sedangkan instans Anti-DDoS Pro yang menggunakan alamat IPv6 tidak dapat.
Packet Feature Filtering: Secara akurat membedakan antara lalu lintas layanan normal dan lalu lintas serangan dengan menganalisis muatan paket untuk melindungi terhadap serangan. Fitur ini juga memungkinkan Anda mengonfigurasi aturan kontrol akses berdasarkan protokol lapisan aplikasi.
CatatanHanya instans Anti-DDoS Proxy (Tiongkok Daratan) dari Rencana fungsi ditingkatkan yang menggunakan alamat IPv4 yang dapat mengonfigurasi fitur ini.
Whitelist: Menetapkan daftar putih berdasarkan port, memungkinkan permintaan akses dari IP yang masuk dalam daftar putih untuk dilewatkan tanpa intersepsi.
Rate Limit for Source: Membatasi laju transfer data alamat IP sumber berdasarkan alamat IP dan port instans jika permintaan akses melebihi batas atas. Laju transfer data alamat IP sumber yang permintaan aksesnya tidak melebihi batas atas tidak dibatasi. Fitur batas laju untuk sumber mendukung pengaturan daftar hitam. Anda dapat menambahkan alamat IP yang permintaan aksesnya melebihi batas atas lima kali dalam 60 detik ke daftar hitam. Anda juga dapat menentukan periode pemblokiran untuk daftar hitam.
Speed Limit for Destination: Membatasi laju transfer data port yang digunakan oleh instans berdasarkan alamat IP dan port instans jika laju transfer melebihi batas atas. Laju transfer data port lainnya tidak dibatasi.
Packet Length Limit: Menentukan panjang minimum dan maksimum paket yang diizinkan lewat. Paket dengan panjang tidak valid akan dibuang.
Prasyarat
Layanan non-situs web telah ditambahkan ke Anti-DDoS Proxy. Untuk informasi lebih lanjut, lihat Kelola aturan pengalihan.
Konfigurasikan kebijakan mitigasi DDoS untuk satu aturan pengalihan port
Masuk ke halaman Kebijakan Umum di konsol Anti-DDoS Proxy.
Di bilah navigasi atas, pilih wilayah instans Anda.
Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
Proxy Anti-DDoS (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.
Di halaman General Policies, klik tab Protection for Non-website Services, dan pilih instans Anti-DDoS Proxy yang ingin Anda kelola di bagian atas halaman.
Klik aturan pengalihan yang ingin Anda konfigurasi dari daftar di sebelah kiri untuk menetapkan kebijakan perlindungan.
False Source: Fitur ini hanya berlaku untuk aturan pengalihan port TCP.
Parameter
Deskripsi
False Source
Aktifkan opsi ini untuk memblokir permintaan dari alamat IP yang dipalsukan.
Saat False Source dinonaktifkan, Empty Connection dan Advanced Attack Mitigation juga dinonaktifkan.
Empty Connection
Aktifkan opsi ini untuk memblokir permintaan yang mencoba membuat sesi null. False Source harus diaktifkan sebelum Anda dapat menghidupkan Empty Connection.
Advanced Attack Mitigation: Fitur ini hanya berlaku untuk aturan pengalihan port TCP. Mode perlindungan default adalah Normal. False Source harus diaktifkan sebelum Anda dapat menghidupkan Advanced Attack Mitigation.
Mode Perlindungan
Efek
Skenario
Longgar
Mode ini memblokir permintaan yang memiliki karakteristik serangan yang jelas. Sejumlah kecil serangan mungkin diizinkan, tetapi tingkat positif palsu rendah.
Mode ini cocok untuk layanan yang melibatkan transmisi data satu arah berskala besar, seperti siaran langsung, streaming media, dan unduhan data, atau layanan yang memerlukan bandwidth tinggi pada server asal.
Normal (direkomendasikan)
Dalam kebanyakan kasus, mode ini tidak memengaruhi beban kerja Anda dan menyeimbangkan efek perlindungan dan tingkat positif palsu yang rendah. Kami merekomendasikan agar Anda menggunakan mode ini.
Mode ini cocok untuk sebagian besar skenario.
Ketat
Mode ini membantu menerapkan verifikasi serangan yang ketat. Dalam beberapa kasus, mode ini menyebabkan positif palsu.
Mode ini cocok untuk skenario di mana server asal memiliki bandwidth terbatas atau efek perlindungan lemah.
Packet Feature Filtering: Konfigurasikan aturan kontrol akses yang tepat berdasarkan muatan paket. Jika satu aturan berisi beberapa kondisi pencocokan, semua kondisi harus dipenuhi untuk memicu tindakan yang sesuai.
CatatanAturan kontrol akses cerdas berbasis AI juga ditampilkan di sini.
Parameter
Deskripsi
Rule Name
Beri nama aturan pemantauan Anda untuk identifikasi mudah.
Match Conditions
Match Conditions: Tentukan format muatan paket. Pilih antara String atau Hexadecimal.
Match Range: Tentukan posisi awal dan akhir untuk pencocokan muatan. Rentang valid untuk kedua posisi adalah dari 0 hingga 1499 byte. Posisi awal tidak boleh melebihi posisi akhir.
Logical Operator: Pilih antara Include atau Not Include.
Field Value:
Jika Match Conditions diatur ke String, panjang konten pencocokan tidak boleh melebihi 1500 byte dan harus berada dalam rentang yang ditentukan oleh posisi awal dan akhir.
Jika Match Conditions diatur ke Hexadecimal, konten harus terdiri dari karakter heksadesimal, tidak melebihi 3000 karakter, merupakan angka genap, dan sesuai dengan rentang yang ditentukan.
Action
Monitor: Mengizinkan permintaan jika sesuai dengan aturan pemantauan.
Block: Menolak permintaan jika sesuai dengan aturan blokir.
Block and Add to Blacklist: Menolak permintaan dan memasukkan alamat IP sumber ke daftar hitam jika permintaan sesuai dengan aturan blokir. Durasi daftar hitam dapat diatur antara 300 hingga 600 detik.
Whitelist: Maksimal 2.000 IP atau blok CIDR dapat ditambahkan ke setiap daftar putih.
Instans Anti-DDoS Proxy menggunakan alamat IPv4 atau IPv6.
Blok CIDR IPv4 dapat dikonfigurasi dari /8 hingga /32, dan IPv6 dari /32 hingga /128.
Alamat IPv4 tidak dapat diatur sebagai 0.0.0.0 atau 255.255.255.255, sedangkan alamat IPv6 tidak dapat diatur sebagai :: atau ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff.
Rate Limit for Source
Parameter
Deskripsi
New Connections Limit for Source
Parameter ini menentukan jumlah maksimum koneksi baru per detik yang dapat dimulai dari satu alamat IP. Nilai valid: 1 hingga 50000. Koneksi baru yang dimulai dari alamat IP setelah batas atas tercapai akan dihapus.
Automatic: Anti-DDoS Proxy secara dinamis menghitung jumlah maksimum koneksi baru per detik yang dapat dimulai dari satu alamat IP sumber.
Manual: Anda harus secara manual menentukan jumlah maksimum koneksi baru per detik yang dapat dimulai dari satu alamat IP sumber.
CatatanBatas pada koneksi baru mungkin sedikit berbeda dari skenario aktual karena node scrubbing diterapkan dalam kluster.
Pengaturan daftar hitam:
Jika Anda memilih kotak centang If the number of new connections from a source exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist., semua permintaan dari alamat IP dalam daftar hitam akan dihapus.
Untuk mengaktifkan pengaturan daftar hitam, konfigurasikan Blacklist Validity Period. Nilai valid: 1 hingga 10080. Unit: menit. Nilai default: 30. Alamat IP yang ditambahkan ke daftar hitam akan dihapus dari daftar hitam saat periode validitas berakhir.
Concurrent Connections Limit for Source
Parameter ini menentukan jumlah maksimum koneksi bersamaan yang dapat dimulai dari satu alamat IP. Nilai valid: 1 hingga 50000. Koneksi bersamaan ke port setelah batas atas tercapai akan dihapus.
Pengaturan daftar hitam:
Jika Anda memilih kotak centang If the number of concurrent connections from a source exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist., semua permintaan dari alamat IP yang masuk daftar hitam akan ditolak.
Untuk mengaktifkan pengaturan daftar hitam, konfigurasikan Blacklist Validity Period. Nilai valid: 1 hingga 10080. Unit: menit. Nilai default: 30. Alamat IP yang ditambahkan ke daftar hitam akan dihapus dari daftar hitam saat periode validitas berakhir.
PPS Limit for Source
Parameter ini menentukan jumlah maksimum paket per detik yang diizinkan dari satu alamat IP. Nilai valid: 1 hingga 100000. Paket yang berasal dari alamat IP setelah batas atas tercapai akan dihapus.
Pengaturan daftar hitam:
Jika Anda memilih kotak centang If the source PPS exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist., semua permintaan dari alamat IP dalam daftar hitam akan dihapus.
Untuk mengaktifkan pengaturan daftar hitam, konfigurasikan Blacklist Validity Period. Nilai valid: 1 hingga 10080. Unit: menit. Nilai default: 30. Alamat IP yang ditambahkan ke daftar hitam akan dihapus dari daftar hitam saat periode validitas berakhir.
Bandwidth Limit for Source
Parameter ini menentukan bandwidth maksimum dari satu alamat IP. Nilai valid: 1024 hingga 268435456. Unit: byte/detik.
Pengaturan daftar hitam:
Jika Anda memilih kotak centang If the bandwidth of connections from a source exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist., semua permintaan dari alamat IP dalam daftar hitam akan dihapus.
Untuk mengaktifkan pengaturan daftar hitam, konfigurasikan Blacklist Validity Period. Nilai valid: 1 hingga 10080. Unit: menit. Nilai default: 30. Alamat IP yang ditambahkan ke daftar hitam akan dihapus dari daftar hitam saat periode validitas berakhir.
Speed Limit for Destination: Pengaturan default berbeda untuk aturan pengalihan port TCP dan UDP.
Aturan pengalihan port TCP:
Parameter
Deskripsi
New Connections Limit for Destination
Parameter ini menentukan jumlah maksimum koneksi baru per detik yang dapat dibuat melalui port Anti-DDoS Proxy, dengan nilai valid dari 100 hingga 100.000. Koneksi berlebih akan dihapus.
Secara default, fitur ini diaktifkan dan batasnya diatur ke 100.000.
Fitur ini tidak dapat dinonaktifkan. Setiap upaya untuk menonaktifkannya akan mengatur ulang nilai ke default 100.000.
CatatanBatas sebenarnya pada koneksi baru mungkin sedikit berbeda karena node scrubbing diterapkan dalam kluster.
Concurrent Connections Limit For Destination
Parameter ini mendefinisikan jumlah maksimum koneksi bersamaan yang dapat dibuat pada port Anti-DDoS Proxy, dengan nilai valid dari 1.000 hingga 2.000.000. Koneksi berlebih akan dihapus.
Secara default, fitur ini diaktifkan dan batasnya diatur ke 2.000.000.
Fitur ini tidak dapat dinonaktifkan. Setiap upaya untuk menonaktifkannya akan mengatur ulang nilai ke default 2.000.000.
Aturan pengalihan port UDP:
Parameter
Deskripsi
New Connections Limit for Destination
Parameter ini menentukan jumlah maksimum koneksi baru per detik yang dapat dibuat melalui port Anti-DDoS Proxy.
Secara default, fitur ini dinonaktifkan, dengan nilai valid dari 100 hingga 50.000.
CatatanBatas sebenarnya pada koneksi baru mungkin sedikit berbeda karena penyebaran node scrubbing dalam kluster.
Concurrent Connections Limit For Destination
Parameter ini menentukan jumlah maksimum koneksi bersamaan yang dapat dibuat melalui port Anti-DDoS Proxy, dengan nilai valid dari 1.000 hingga 200.000.
Secara default, fitur ini diaktifkan dan diatur ke 200.000.
Fitur ini tidak dapat dinonaktifkan. Setiap upaya untuk menonaktifkannya akan mengatur ulang nilai ke default 200.000.
Packet Length Limit: Di bagian Packet Length Limit, klik Settings. Tentukan panjang minimum dan maksimum muatan yang terkandung dalam paket dan klik OK. Nilai valid: 0 hingga 1.500 byte.
Konfigurasikan kebijakan mitigasi DDoS untuk beberapa aturan pengalihan port sekaligus
Masuk ke Konsol Anti-DDoS Proxy.
Di bilah navigasi atas, pilih wilayah instans Anda.
Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
Proxy Anti-DDoS (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Port Config, pilih instans yang ingin Anda kelola dan pilih di bawah daftar aturan.
Di kotak dialog Create Mitigation Policy, ikuti format yang diperlukan untuk memasukkan konten kebijakan mitigasi DDoS dan klik OK.
CatatanAnda juga dapat mengekspor kebijakan mitigasi DDoS ke file TXT, memodifikasi konten dalam file TXT, lalu menyalin dan menempelkan konten yang telah dimodifikasi ke bidang yang diperlukan. Format kebijakan mitigasi DDoS dalam file yang diekspor harus sama dengan format kebijakan yang ingin Anda buat. Untuk informasi lebih lanjut, lihat Ekspor beberapa konfigurasi port sekaligus.
Konfigurasikan hanya satu kebijakan mitigasi DDoS di setiap baris untuk setiap aturan pengalihan port.
Saat Anda mengonfigurasi kebijakan mitigasi DDoS, bidang dari kiri ke kanan menunjukkan parameter berikut: port pengalihan, protokol pengalihan (tcp atau udp), batas koneksi baru untuk sumber, batas koneksi bersamaan untuk sumber, batas koneksi baru untuk tujuan, batas koneksi bersamaan untuk tujuan, panjang paket minimum, panjang paket maksimum, sumber palsu, dan koneksi kosong. Pisahkan bidang dengan spasi.
Port pengalihan harus merupakan port yang ditentukan dalam aturan pengalihan.
Nilai valid untuk bidang sumber palsu dan koneksi kosong adalah on dan off. Nilai off menentukan bahwa fitur dinonaktifkan.