全部产品
Search

搜索本产品

    Anti-DDoS:Konfigurasikan Kebijakan Mitigasi DDoS

    文档中心

    Anti-DDoS:Konfigurasikan Kebijakan Mitigasi DDoS

    更新时间:Mar 03, 2026

    Anti-DDoS Proxy memungkinkan Anda mengonfigurasi kebijakan mitigasi DDoS untuk melindungi layanan non-situs web dari Serangan DDoS Lapisan 4. Kebijakan ini mencakup deteksi sumber palsu, deteksi koneksi kosong, pembatasan laju berdasarkan IP sumber, dan pembatasan kecepatan untuk IP tujuan. Topik ini menjelaskan cara menambahkan kebijakan mitigasi DDoS.

    Fitur

    Kebijakan mitigasi DDoS untuk layanan non-situs web memberikan perlindungan pada level alamat IP dan Port. Untuk mengatasi serangan banjir koneksi, konfigurasikan parameter seperti kecepatan koneksi dan panjang paket untuk alamat IP dan port layanan non-situs web yang telah ditambahkan ke instans Anti-DDoS Proxy. Kebijakan mitigasi DDoS berlaku pada level port.

    Anti-DDoS Proxy menyediakan kebijakan mitigasi DDoS berikut untuk layanan non-situs web Anda.

    • False Source: Memverifikasi dan menyaring serangan DDoS yang berasal dari alamat IP palsu.

    • Advanced Attack Mitigation: Mendeteksi dan memblokir serangan DDoS yang mengirim banyak pesan abnormal secara cepat setelah jabat tangan tiga arah TCP terbentuk. Serangan semacam ini biasanya diluncurkan dari jaringan bot seperti Mirai.

      Catatan

      Fitur ini tersedia untuk instans Anti-DDoS Proxy dengan alamat IPv4, tetapi tidak tersedia untuk instans dengan alamat IPv6.

    • Packet Feature Filtering: Mengidentifikasi dan melindungi secara akurat terhadap serangan dengan menganalisis fitur traffic normal dan traffic serangan berdasarkan muatan paket. Fitur ini juga memungkinkan Anda mengonfigurasi kebijakan pencocokan berdasarkan protokol lapisan aplikasi.

      Catatan

      Fitur ini hanya tersedia untuk instans Anti-DDoS Proxy (Tiongkok daratan) edisi Enhanced yang menggunakan alamat IPv4.

    • Whitelist: Buat daftar putih berdasarkan port. Permintaan akses dari alamat IP dalam daftar putih selalu diizinkan dan tidak diblokir.

    • Rate Limit for Source: Membatasi frekuensi akses dari alamat IP sumber ke alamat IP dan port instans. Jika frekuensi melebihi ambang batas yang ditentukan, IP sumber akan dikenai pembatasan laju. Akses dari IP sumber yang tidak melebihi ambang batas tidak terpengaruh. Fitur ini mendukung blacklist. Jika suatu IP sumber melebihi batas lima kali dalam 60 detik, Anda dapat mengonfigurasi kebijakan untuk menambahkan IP sumber tersebut ke blacklist selama periode validitas tertentu.

    • Speed Limit for Destination: Membatasi frekuensi akses ke port tertentu dari instans Anti-DDoS Proxy. Jika frekuensi melebihi ambang batas, port tersebut akan dikenai pembatasan laju. Port lain tidak terpengaruh.

    • Packet Length Limit: Menentukan panjang minimum dan maksimum muatan dalam pesan yang diizinkan melewati port Anti-DDoS Proxy. Paket yang lebih kecil dari panjang minimum atau lebih besar dari panjang maksimum akan dibuang.

    Prasyarat

    Layanan non-situs web telah ditambahkan ke Anti-DDoS Proxy. Untuk informasi selengkapnya, lihat Manage forwarding rules.

    Atur Satu Kebijakan Mitigasi DDoS

    1. Masuk ke halaman General Policies di Konsol Anti-DDoS Proxy.

    2. Pada bilah navigasi atas, pilih wilayah instans Anda.

      • Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.

      • Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.

    3. Pada halaman General Policies, klik tab Protection for Non-website Services. Kemudian, pilih instans Anti-DDoS Proxy yang ingin Anda kelola dari daftar drop-down di bagian atas halaman.

    4. Pada panel navigasi kiri, klik aturan pengalihan tempat Anda ingin mengonfigurasi kebijakan mitigasi.

      • False Source: Fitur ini hanya berlaku untuk aturan pengalihan port TCP.

        Parameter

        Deskripsi

        False Source

        Aktifkan opsi ini untuk secara otomatis menyaring permintaan koneksi dari alamat IP sumber palsu.

        • Jika Anda menonaktifkan False Source, Empty Connection juga dinonaktifkan.

        • Jika False Source dinonaktifkan, baik Empty Connection maupun Advanced Attack Mitigation menjadi tidak efektif.

        Empty Connection

        Aktifkan opsi ini untuk secara otomatis menyaring permintaan koneksi kosong. Anda harus mengaktifkan False Source sebelum dapat mengaktifkan Empty Connection.

      • Advanced Attack Mitigation: Fitur ini hanya berlaku untuk aturan pengalihan port TCP. Setelah Anda mengaktifkan fitur ini, tingkat perlindungan diatur ke Normal secara default. Anda harus mengaktifkan False Source sebelum dapat mengaktifkan Advanced Attack Mitigation.

        Tingkat Perlindungan

        Efek Perlindungan

        Skenario

        Loose

        Memblokir permintaan yang memiliki ciri serangan yang jelas. Sejumlah kecil permintaan serangan mungkin terlewat, tetapi tingkat positif palsu sangat rendah.

        Tingkat ini cocok untuk layanan yang melibatkan transmisi data satu arah berskala besar, seperti live streaming, media streaming, dan unduhan, atau untuk layanan yang memiliki bandwidth besar pada origin server.

        Normal (Direkomendasikan)

        Dalam sebagian besar kasus, tingkat ini tidak memengaruhi layanan normal dan memberikan keseimbangan antara perlindungan dan tingkat positif palsu yang rendah. Kami merekomendasikan Anda memilih tingkat ini untuk sebagian besar skenario.

        Tingkat ini cocok untuk sebagian besar skenario bisnis.

        Strict

        Menjalankan verifikasi ketat terhadap serangan berbahaya. Hal ini dapat menyebabkan beberapa positif palsu.

        Tingkat ini cocok untuk skenario di mana origin server memiliki bandwidth rendah atau efek perlindungan kurang ideal.

      • Packet Feature Filtering: Tetapkan aturan kontrol akses yang akurat secara kustom berdasarkan muatan paket. Jika suatu aturan memiliki beberapa kondisi pencocokan, aksi hanya dilakukan jika semua kondisi terpenuhi.

        Catatan

        Aturan kontrol akses akurat yang dikirimkan oleh Perlindungan Cerdas juga ditampilkan di bagian ini.

        Parameter

        Deskripsi

        Rule Name

        Nama kustom aturan tersebut.

        Match Conditions

        • Match Conditions: Format muatan paket. Anda dapat memilih String atau Hexadecimal.

        • Match Range: Posisi awal dan akhir muatan yang akan dicocokkan. Posisi awal dan akhir dapat bernilai 0 hingga 1.499. Satuan: byte. Posisi awal harus kurang dari atau sama dengan posisi akhir.

        • Logical Operator: Nilainya dapat berupa Include atau Not Include.

        • Field Value:

          • Jika Anda mengatur Match Conditions ke String, panjang konten pencocokan tidak boleh melebihi 1.500 karakter, dan harus kurang dari atau sama dengan (Posisi Akhir - Posisi Awal + 1).

            Jika Anda mengatur Match Conditions ke Hexadecimal, konten pencocokan harus berupa string heksadesimal. Panjang string tidak boleh melebihi 3.000 karakter dan harus berjumlah genap. Panjang konten pencocokan dibagi dua harus kurang dari atau sama dengan (Posisi Akhir - Posisi Awal + 1).

        Action

        • Monitor: Mengizinkan permintaan akses jika sesuai dengan aturan.

        • Block: Menolak permintaan akses jika sesuai dengan aturan.

        • Block and Add to Blacklist: Menolak permintaan akses dan menambahkan alamat IP sumber ke blacklist jika permintaan tersebut sesuai dengan aturan. Anda dapat mengatur durasi blacklist dari 300 hingga 600 detik.

      • Whitelist: Anda dapat menambahkan maksimal 2.000 alamat IP atau Blok CIDR ke setiap daftar putih.

        • Instans Anti-DDoS Proxy dengan alamat IPv4 hanya mendukung alamat IP atau Blok CIDR dalam format IPv4. Instans Anti-DDoS Proxy dengan alamat IPv6 hanya mendukung alamat IP atau Blok CIDR dalam format IPv6.

        • Blok CIDR IPv4 yang didukung adalah /8 hingga /32. Blok CIDR IPv6 yang didukung adalah /32 hingga /128.

        • Anda tidak dapat mengatur alamat IPv4 ke 0.0.0.0 atau 255.255.255.255. Anda tidak dapat mengatur alamat IPv6 ke :: atau ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff.

      • Rate Limit for Source:

        Parameter

        Deskripsi

        New Connections Limit for Source

        Membatasi jumlah koneksi baru per detik dari satu alamat IP sumber. Nilai yang valid: 1 hingga 50.000. Koneksi baru yang melebihi batas akan dibuang.

        • Automatic: Sistem secara dinamis menghitung ambang batas jumlah maksimum koneksi baru dari alamat IP sumber. Anda tidak perlu mengatur ambang batas secara manual.

        • Manual: Anda harus mengatur ambang batas jumlah maksimum koneksi baru dari alamat IP sumber secara manual.

        Catatan

        Batas koneksi baru mungkin memiliki sedikit margin kesalahan karena penggunaan kluster perlindungan.

        Kebijakan blacklist:

        • Anda dapat memilih opsi If the number of new connections from a source exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist.. Jika alamat IP sumber ditambahkan ke blacklist, semua permintaan koneksi dari alamat tersebut akan ditolak.

        • Saat Anda mengaktifkan kebijakan blacklist, Anda harus mengatur Blacklist Validity Period. Nilainya berkisar antara 1 hingga 10.080 menit. Nilai default adalah 30 menit. Alamat IP sumber akan secara otomatis dihapus dari blacklist setelah periode validitas berakhir.

        Max Concurrent Connections per Source IP

        Membatasi jumlah koneksi bersamaan dari satu alamat IP sumber. Nilai yang valid: 1 hingga 50.000. Koneksi bersamaan yang melebihi batas akan dibuang.

        Kebijakan blacklist:

        • Anda dapat memilih opsi If the number of concurrent connections from a source exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist.. Jika alamat IP sumber ditambahkan ke blacklist, semua permintaan koneksinya akan ditolak.

        • Saat Anda mengaktifkan kebijakan blacklist, Anda harus mengatur Blacklist Validity Period. Nilainya berkisar antara 1 hingga 10.080 menit. Nilai default adalah 30 menit. Alamat IP sumber akan secara otomatis dihapus dari blacklist setelah periode validitas berakhir.

        PPS Limit for Source

        Membatasi jumlah paket yang diteruskan per detik dari satu alamat IP sumber. Nilai yang valid: 1 hingga 100.000 paket per detik (PPS). Paket yang melebihi batas akan dibuang.

        Kebijakan blacklist:

        • Anda dapat memilih opsi If the source PPS exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist.. Jika alamat IP sumber ditambahkan ke blacklist, semua permintaan koneksi dari alamat tersebut akan ditolak.

        • Saat Anda mengaktifkan kebijakan blacklist, Anda harus mengatur Blacklist Validity Period. Nilainya berkisar antara 1 hingga 10.080 menit. Nilai default adalah 30 menit. Alamat IP sumber akan secara otomatis dihapus dari blacklist setelah periode validitas berakhir.

        Bandwidth Limit for Source

        Membatasi bandwidth permintaan asal dari satu alamat IP sumber. Nilai yang valid: 1.024 hingga 268.435.456 byte per detik.

        Kebijakan blacklist:

        • Anda dapat memilih opsi If the bandwidth of connections from a source exceeds the limit five times within 60 seconds, the source IP address is added to the blacklist.. Jika alamat IP sumber ditambahkan ke blacklist, semua permintaan koneksi dari alamat tersebut akan dibuang.

        • Saat Anda mengaktifkan kebijakan blacklist, Anda harus mengatur Blacklist Validity Period. Nilainya berkisar antara 1 hingga 10.080 menit. Nilai default adalah 30 menit. Alamat IP sumber akan secara otomatis dihapus dari blacklist setelah periode validitas berakhir.

      • Speed Limit for Destination: Pengaturan default berbeda antara aturan pengalihan port TCP dan UDP.

        • Aturan pengalihan port TCP

          Parameter

          Deskripsi

          New Connections Limit for Destination

          Membatasi jumlah maksimum koneksi baru per detik untuk port instans Anti-DDoS Proxy. Koneksi baru yang melebihi batas akan dibuang. Nilai yang valid: 100 hingga 100.000.

          • Fitur ini diaktifkan secara default, dan nilainya diatur ke 100.000.

          • Anda tidak dapat menonaktifkan fitur ini. Jika Anda mencoba menonaktifkannya, nilainya akan diatur ulang ke nilai default 100.000.

          Catatan

          Batas koneksi baru mungkin memiliki sedikit margin kesalahan karena penggunaan kluster perlindungan.

          Maximum Number of Concurrent Connections to a Destination IP Address

          Membatasi jumlah maksimum koneksi bersamaan untuk port instans Anti-DDoS Proxy. Koneksi bersamaan yang melebihi batas akan dibuang. Nilai yang valid: 1.000 hingga 2.000.000.

          • Fitur ini diaktifkan secara default, dan nilainya diatur ke 2.000.000.

          • Anda tidak dapat menonaktifkan fitur ini. Jika Anda mencoba menonaktifkannya, nilainya akan diatur ulang ke nilai default 2.000.000.

        • Aturan pengalihan port UDP

          Parameter

          Deskripsi

          New Connections Limit for Destination

          Membatasi jumlah maksimum koneksi baru per detik untuk port instans Anti-DDoS Proxy. Koneksi baru yang melebihi batas akan dibuang.

          Fitur ini dinonaktifkan secara default. Nilai yang valid: 100 hingga 50.000.

          Catatan

          Batas koneksi baru mungkin memiliki sedikit margin kesalahan karena penggunaan kluster perlindungan.

          Maximum Number of Concurrent Connections to a Destination IP Address

          Membatasi jumlah maksimum koneksi bersamaan untuk port instans Anti-DDoS Proxy. Koneksi bersamaan yang melebihi batas akan dibuang. Nilai yang valid: 1.000 hingga 200.000.

          • Fitur ini diaktifkan secara default, dan nilainya diatur ke 200.000.

          • Anda tidak dapat menonaktifkan fitur ini. Jika Anda mencoba menonaktifkannya, nilainya akan diatur ulang ke nilai default 200.000.

      • Packet Length Limit: Di bawah Packet Length Limit, klik Settings. Atur panjang minimum dan maksimum muatan dalam pesan yang dapat melewati port Anti-DDoS Proxy. Nilainya harus antara 0 hingga 1.500 byte. Lalu, klik OK.

    Tambahkan Kebijakan Mitigasi DDoS Secara Batch

    1. Masuk ke Konsol Anti-DDoS Proxy.

    2. Pada bilah navigasi atas, pilih wilayah instans Anda.

      • Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.

      • Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.

    3. Pada panel navigasi kiri, pilih Provisioning > Port Config.

    4. Pada halaman Port Config, pilih instans Anti-DDoS Proxy. Di bawah daftar aturan, pilih Batch Operations > Create Mitigation Policy.

    5. Pada kotak dialog Create Mitigation Policy, masukkan konten kebijakan mitigasi dalam format yang diperlukan lalu klik OK.

      Catatan

      Anda juga dapat mengekspor kebijakan mitigasi DDoS saat ini terlebih dahulu, melakukan perubahan pada file .txt yang diekspor, lalu menyalin dan menempelkan kontennya. Format kebijakan mitigasi DDoS dalam file yang diekspor sama dengan format yang diperlukan untuk penambahan kebijakan secara batch. Untuk informasi selengkapnya, lihat Batch export.

      • Setiap baris mewakili kebijakan mitigasi DDoS untuk satu aturan pengalihan port.

      • Setiap kebijakan mitigasi DDoS berisi bidang-bidang berikut dari kiri ke kanan, dipisahkan spasi: port pengalihan, protokol pengalihan (tcp atau udp), max new connections per Source IP, max concurrent connections per source IP, max new connections per destination IP, maximum number of concurrent connections to a destination IP address, minimum packet length, maximum packet length, false source switch, dan empty connection switch.

      • Port pengalihan harus merupakan port yang sudah dikonfigurasi dalam aturan pengalihan.

      • Nilai untuk false source switch dan empty connection switch adalah `on` dan `off`. Jika bidang tersebut kosong, dianggap `off` (dinonaktifkan).