Cara menangani respon lambat, latensi tinggi, dan kegagalan akses pada layanan saya yang dilindungi oleh Proxy Anti-DDoS -

Masalah

Setelah menambahkan layanan Anda ke instance Proxy Anti-DDoS, Anda mungkin mengalami masalah seperti respon lambat, latensi tinggi, atau kegagalan akses.

Pemecahan Masalah

Kumpulkan alamat IP yang terpengaruh dan uji konektivitas menggunakan alat seperti traceroute atau MTR untuk mengidentifikasi penyebabnya.
Catatan
- Bagian ini menjelaskan cara menggunakan alat MTR untuk memeriksa latensi koneksi jaringan.
- Untuk instruksi lebih lanjut tentang penggunaan alat Traceroute dan MTR, lihat Gunakan MTR untuk menganalisis jalur jaringan.
```
mtr --no-dns [$IP]
```
Catatan
[$IP] menunjukkan alamat IP yang terpengaruh yang telah Anda kumpulkan.
Keluaran perintah berikut menunjukkan bahwa latensi terjadi pada salah satu node:
Tentukan apakah latensi tersebut dapat diterima.
Proxying lalu lintas dan pemantauan keamanan dari Proxy Anti-DDoS dapat memperkenalkan beberapa latensi, yang bervariasi berdasarkan wilayah klien dan ISP. Tabel berikut menunjukkan nilai latensi referensi setelah menambahkan layanan Anda ke instance Proxy Anti-DDoS.
- Proxy Anti-DDoS (Tiongkok Daratan): 73 ms hingga 113 ms untuk pengguna di Tiongkok daratan dan sekitar 313 ms untuk pengguna di luar Tiongkok daratan.
- Proxy Anti-DDoS (Luar Tiongkok Daratan):
  - Asuransi dan rencana mitigasi tanpa batas: 60 ms hingga 100 ms untuk pengguna di luar Tiongkok daratan dan sekitar 300 ms untuk pengguna di Tiongkok daratan.
  - Rencana mitigasi CMA dan Sec-CMA: kurang dari 50 ms.
Jika latensi berada dalam rentang normal, pertimbangkan metode berikut untuk menguranginya:
- Pilih node yang secara geografis dekat dengan server asal Anda. Pilihan ini memastikan bahwa lalu lintas dikelola oleh node yang lebih dekat ke server Anda, mengurangi jarak transmisi data dan jumlah hop, sehingga meminimalkan latensi. Proxy Anti-DDoS menawarkan node di wilayah seperti China (Beijing) dan China (Hangzhou). Untuk memilih node, hubungi manajer akun Anda. Untuk informasi lebih lanjut, lihat Beli instance Proxy Anti-DDoS.
- Manfaatkan fitur Pengelola Lalu Lintas Keamanan dari Proxy Anti-DDoS untuk melindungi layanan Alibaba Cloud Anda. Fitur ini merutekan lalu lintas jaringan melalui Proxy Anti-DDoS hanya selama serangan, memungkinkan lalu lintas normal langsung mencapai server asal saat tidak ada serangan. Untuk informasi lebih lanjut, lihat Pengelola Lalu Lintas Keamanan.
- Gunakan layanan akselerasi jaringan seperti Alibaba Cloud CDN (CDN), Dynamic Content Delivery Network (DCDN), atau Global Traffic Manager (GTM). Sementara Proxy Anti-DDoS melindungi dari DDoS dan ancaman jaringan lainnya, layanan seperti CDN, DCDN, dan GTM dirancang untuk meningkatkan kinerja jaringan, kecepatan akses, dan pengalaman pengguna, serta mengurangi latensi. Perhatikan bahwa layanan akselerasi ini tersedia sebagai opsi berbayar.
Jika latensi secara signifikan melebihi rentang normal, periksa apakah nilai Host dari node latensi adalah alamat IP server asal Anda atau alamat IP instance Proxy Anti-DDoS.
- Pemecahan masalah untuk pengecualian pada server asal
- Pemecahan masalah untuk instance Proxy Anti-DDoS
  - Pemecahan masalah untuk peristiwa pembersihan lalu lintas
  - Pemecahan masalah untuk peristiwa penyaringan blackhole

Solusi

Jika Anda ingin segera mengakses layanan Anda, kami sarankan Anda melewati Proxy Anti-DDoS dan langsung mengakses server asal. Ini memastikan akses normal ke layanan Anda. Kemudian, pecahkan masalah berdasarkan bagian-bagian berikut.

Pemecahan masalah untuk pengecualian pada server asal

Pecahkan pengecualian berdasarkan jenis server asal Anda.

Jenis server asal	Pemecahan Masalah
Instance Server Load Balancer (SLB)	Gunakan alat TCPing untuk ping alamat IP dan port instance SLB dan periksa apakah terjadi pengecualian. Untuk informasi lebih lanjut, lihat Pemecahan masalah untuk peristiwa pembersihan lalu lintas. Periksa status instance SLB. Misalnya, periksa apakah jumlah koneksi ke instance melebihi spesifikasi Max Connection dari instance. Periksa apakah kebijakan kontrol akses dikonfigurasi. Jika akses ditolak, izinkan blok CIDR kembali ke asal instance Proxy Anti-DDoS Anda pada server asal. Untuk informasi lebih lanjut, lihat Izinkan alamat IP kembali ke asal untuk mengakses server asal. Periksa apakah perangkat lunak keamanan atau kebijakan pemblokiran IP pada server backend instance SLB secara keliru menolak akses dari blok CIDR kembali ke asal instance Proxy Anti-DDoS Anda. Jika akses ditolak, izinkan blok CIDR kembali ke asal instance Proxy Anti-DDoS Anda pada server asal. Untuk informasi lebih lanjut, lihat Izinkan alamat IP kembali ke asal untuk mengakses server asal. Catatan Jika server backend terhubung dengan instance SLB, server backend tidak dapat mengidentifikasi alamat IP asal klien karena load balancing lapisan 7 tidak digunakan. Server backend menganggap semua permintaan berasal dari blok CIDR kembali ke asal instance Proxy Anti-DDoS. Akibatnya, server backend menganggap bahwa setiap blok CIDR kembali ke asal memulai sejumlah besar permintaan. Dalam hal ini, blok CIDR kembali ke asal instance Proxy Anti-DDoS mungkin diblokir oleh perangkat lunak keamanan secara keliru. Anda harus mengizinkan alamat IP ini pada server asal. Periksa apakah alamat IP instance SLB terpapar. Jika Anda tidak dapat menentukan status alamat IP atau alamat IP telah terpapar, kami sarankan Anda menggunakan instance SLB lain. Jika tidak, penyerang dapat melewati Proxy Anti-DDoS untuk menyerang server asal.
Instance Elastic Compute Service (ECS)	Gunakan alat TCPing untuk ping alamat IP dan port instance ECS dan periksa apakah terjadi pengecualian berdasarkan log. Untuk informasi lebih lanjut, lihat Pemecahan masalah untuk peristiwa pembersihan lalu lintas. Periksa apakah pengecualian terjadi pada instance ECS. Pengecualian termasuk utilisasi CPU tinggi, pemrosesan permintaan database yang lambat, dan bandwidth tinggi untuk lalu lintas arah keluar. Anda juga dapat memeriksa peristiwa penyaringan blackhole dan peristiwa pembersihan lalu lintas. Periksa apakah kebijakan kontrol akses, seperti grup keamanan dan perangkat lunak keamanan, dikonfigurasi. Jika akses ditolak, izinkan blok CIDR kembali ke asal instance Proxy Anti-DDoS Anda pada server asal. Untuk informasi lebih lanjut, lihat Izinkan alamat IP kembali ke asal untuk mengakses server asal. Periksa apakah grup keamanan yang mengizinkan permintaan dari alamat IP asal layanan non-website Anda ke instance ECS telah ditambahkan. Periksa apakah alamat IP instance ECS terpapar. Jika Anda tidak dapat menentukan status alamat IP atau alamat IP telah terpapar, penyerang dapat melewati Proxy Anti-DDoS untuk menyerang server asal. Dalam hal ini, kami sarankan Anda mengubah alamat IP instance ECS. Untuk informasi lebih lanjut, lihat Ubah alamat IP publik server asal ECS.
Server tidak ditempatkan di Alibaba Cloud	Gunakan alat TCPing untuk ping alamat IP dan port server dan periksa apakah terjadi pengecualian berdasarkan log. Untuk informasi lebih lanjut, lihat Pemecahan masalah untuk peristiwa pembersihan lalu lintas. Periksa apakah pengecualian terjadi pada server. Pengecualian termasuk utilisasi CPU tinggi, pemrosesan permintaan database yang lambat, dan bandwidth tinggi untuk lalu lintas arah keluar. Periksa apakah kebijakan kontrol akses, seperti daftar hitam, daftar putih, dan perangkat lunak keamanan, dikonfigurasi. Jika akses ditolak, izinkan blok CIDR kembali ke asal instance Proxy Anti-DDoS Anda pada server asal. Untuk informasi lebih lanjut, lihat Izinkan alamat IP kembali ke asal untuk mengakses server asal. Periksa apakah alamat IP server terpapar. Jika Anda tidak dapat menentukan status alamat IP atau alamat IP telah terpapar, kami sarankan Anda mengubah alamat IP server. Jika tidak, penyerang dapat melewati Proxy Anti-DDoS untuk menyerang server asal.
Cloud Firewall, WAF, dan layanan keamanan lainnya	Ketika Proxy Anti-DDoS, WAF, dan Cloud Firewall diterapkan secara bersamaan, lalu lintas bisnis mengikuti salah satu dari dua jalur berikut. Pertama, periksa apakah Anda telah mengizinkan alamat IP kembali ke asal untuk mengakses server asal, kemudian lanjutkan dengan langkah pemecahan masalah. DDoS->WAF (mode CNAME)->Cloud Firewall->server backend Di konsol WAF, buka halaman Laporan Keamanan untuk memeriksa apakah IP sumber secara keliru diblokir oleh aturan perlindungan WAF. Jika ya, kami sarankan Anda menambahkan IP ke daftar putih atau mengizinkan ID aturan yang terkena. Untuk informasi lebih lanjut, lihat Konfigurasikan aturan perlindungan untuk modul daftar putih untuk mengizinkan permintaan tertentu. DDoS->Cloud Firewall->WAF (mode cloud native)->server backend Di konsol Cloud Firewall, buka halaman Audit Operasi untuk memeriksa apakah IP secara keliru diblokir oleh aturan IPS. Tambahkan IP sumber ke buku alamat. Tambahkan buku alamat ke daftar putih IPS.

Pemecahan masalah untuk instance Proxy Anti-DDoS

Lihat status instance pada halaman Instances dari Konsol Anti-DDoS Pro. Kemudian, tentukan metode penanganan berdasarkan status.

Scrubbing
Jika lalu lintas jaringan melebihi ambang batas pembersihan lalu lintas, instance membersihkan lalu lintas. Peristiwa pembersihan lalu lintas dapat menyebabkan respon lambat atau latensi.
Blackholing
Jika serangan volumetrik diluncurkan ke server Anda dan penyaringan blackhole dipicu, server hanya dapat diakses dari Alibaba Cloud dan layanan di wilayah yang sama dengan server tersebut. Lalu lintas dari sumber lain akan ditolak.

Pemecahan Masalah untuk Peristiwa Pembersihan Lalu Lintas

Gambar berikut menunjukkan bahwa peristiwa pembersihan lalu lintas terjadi, yang menyebabkan pengecualian. Anda dapat menggunakan alat TCPing untuk melakukan ping pada port yang terpengaruh dan tidak terpengaruh, serta memeriksa apakah terjadi latensi atau kehilangan paket. Instance Status

Identifikasi penyebab dan selesaikan masalah berdasarkan tabel berikut.

Latensi dan kehilangan paket pada port yang terpengaruh	Latensi dan kehilangan paket pada port yang tidak terpengaruh	Solusi
Ya	Tidak	Kebijakan pembersihan lalu lintas tidak menyebabkan latensi tinggi dan kehilangan paket. Kami sarankan Anda memeriksa status dan kemampuan mitigasi serangan server backend. Jika server backend tidak memiliki kemampuan yang cukup untuk mitigasi serangan, sesuaikan kebijakan mitigasi instance Proxy Anti-DDoS Anda untuk memperkuat keamanan server. Anda dapat menganalisis kemampuan mitigasi serangan server Anda dan menyesuaikan kebijakan mitigasi berdasarkan detail berikut: Statistik akses Proses interaksi layanan Data performa
Ya	Ya	Kebijakan pembersihan lalu lintas menyebabkan latensi dan kehilangan paket.
Tidak	Tidak	Kebijakan pembersihan lalu lintas tidak menyebabkan latensi atau kehilangan paket.
Tidak	Ya	Kasus ini tidak ada.

Pemecahan Masalah untuk Peristiwa Penyaringan Blackhole

Gambar berikut menunjukkan bahwa peristiwa penyaringan blackhole telah terjadi. Periksa alamat IP yang berada dalam status blackholing dan pastikan apakah layanan yang terpengaruh menggunakan alamat IP tersebut.
Kami sarankan Anda menonaktifkan penyaringan blackhole. Setiap akun Alibaba Cloud dapat menonaktifkan penyaringan blackhole hingga lima kali per hari. Untuk informasi lebih lanjut, lihat Nonaktifkan penyaringan blackhole.

Untuk mencegah pemicuan kembali penyaringan blackhole setelah dinonaktifkan, kami sarankan Anda meningkatkan Proxy Anti-DDoS.

Informasi lebih lanjut

Bagian ini menjelaskan cara menggunakan TCPing untuk memeriksa status port, mendeteksi latensi TCP, dan melihat informasi koneksi menggunakan koneksi TCP. Klik TCPing untuk mengunduh alat TCPing.

Gunakan TCPing di Windows

Salin alat TCPing ke direktori tertentu di Windows dan jalankan perintah tcping [$Domain_Name] [$Port].

Catatan

[$Domain_Name] menunjukkan nama domain atau alamat IP yang ingin Anda uji konektivitasnya.
[$Port] menunjukkan port yang ingin Anda uji konektivitasnya.

Keluaran berikut dikembalikan:

Probing 192.168.XX.XX:80/tcp - Port is open - time=19.550ms
Probing 140.XXX.XXX.8:80/tcp - Port is open - time=8.761ms
Probing 192.168.XX.XX:80/tcp - Port is open - time=10.899ms
Probing 192.168.XX.XX:80/tcp - Port is open - time=13.013ms

Ping statistics for 192.168.XX.XX:80
     4 probes sent.
     4 successful, 0 failed.
Approximate trip times in milliseconds:
     Minimum = 8.761ms, Maximum = 19.550ms, Average = 13.056ms

Gunakan TCPing di Linux

Jalankan perintah berikut secara berurutan untuk menginstal TCPing:
```
tar zxvf tcping-1.3.5.tar.gz
cd tcping-1.3.5
make tcping.linux
```

Jalankan perintah berikut untuk menguji konektivitas:

for ((i=0; i<10; ++i)) ; do ./tcping www.example.com 80;done

Keluaran berikut dikembalikan:

www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.