Tingkatkan efek mitigasi serangan banjir HTTP lapisan aplikasi pada edisi berbayar Anti-DDoS Origin -

Untuk melindungi alamat IP elastis (EIP) dengan Anti-DDoS (Ditingkatkan) diaktifkan, Anda dapat mengonfigurasi kebijakan mitigasi spesifik port untuk mengizinkan atau membuang lalu lintas dengan karakteristik tertentu. Hal ini membantu mengurangi serangan banjir TCP (serangan banjir lapisan aplikasi pada layanan non-situs web) yang ditujukan terhadap layanan non-situs web Anda dan memungkinkan pemantauan serta penyaringan lalu lintas lapisan aplikasi secara rinci. Topik ini menjelaskan cara mengonfigurasi kebijakan mitigasi spesifik port.

Catatan Penggunaan

Aset layanan Alibaba Cloud reguler hanya mendukung kebijakan mitigasi spesifik IP. EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan mendukung kebijakan mitigasi spesifik IP dan spesifik port. Jika Anda mengonfigurasi kedua kebijakan mitigasi spesifik IP dan spesifik port, kebijakan mitigasi spesifik IP memiliki prioritas lebih tinggi.
Anda hanya dapat mengaitkan satu kebijakan mitigasi spesifik port dengan sebuah port.

Prasyarat

Sebuah port dari EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan harus ditambahkan ke kebijakan mitigasi di halaman Objek yang Dilindungi. Untuk informasi lebih lanjut, lihat Tambahkan Objek untuk Perlindungan.

Prosedur

Masuk ke Konsol Keamanan Lalu Lintas.
Di panel navigasi sisi kiri, pilih Network Security > Anti-DDoS Origin > Mitigation Settings.
Klik Create Policy. Di panel Buat Kebijakan, konfigurasikan Policy Name dan pilih Port-specific Mitigation Policy di bagian Pilih Tipe Kebijakan. Kemudian, klik OK.
Di pesan The policy is created., klik OK.

Klik Create Rule, konfigurasikan aturan untuk kebijakan tersebut, lalu klik Next.

Parameter	Deskripsi
Rule Name	Nama aturan. Anda dapat menambahkan hingga 10 aturan ke setiap kebijakan mitigasi.
Minimum Bytes to Trigger Matching	Jumlah minimum byte dalam sesi untuk memicu pencocokan. Nilai valid: 0 hingga 2048. Nilai default: 0. Nilai ini menentukan bahwa pencocokan dipicu ketika sesi berisi setidaknya satu byte. Jika Anda mengatur parameter ini ke 1500 dan jumlah byte dalam sesi kurang dari 1.500, aturan tidak akan berlaku.
Rule Type	Tipe sesi yang dideteksi. Nilai valid: Pencocokan String (ASCII) dan Pencocokan String Heksadesimal.
Match Conditions	Start Position: posisi awal deteksi. Nilai valid: 0 hingga 2047. Nilai 0 menunjukkan byte pertama. Nilai 1 menunjukkan byte kedua. Semua nilai mengikuti aturan yang sama. Match Range in Bytes from Start Position: jumlah byte yang dideteksi dari posisi awal. Nilai valid: 1 hingga 2048. Jika Anda mengatur parameter ini ke 20 dan parameter Posisi Awal ke 10, byte ke-11 hingga ke-30 dalam sesi dideteksi. Term to Match: konten yang dicocokkan. Konten ini adalah string dan dapat mencapai panjang maksimum 2.048 karakter.
Priority	Prioritas deteksi. Nilai yang lebih kecil menunjukkan prioritas lebih tinggi. Nilai valid: 1 hingga 100.
Logical Operator	Kondisi berdasarkan mana tindakan dilakukan.
Action	Metode untuk memproses sesi yang memenuhi aturan. Nilainya tetap sebagai Discard.

Di bagian Protected Assets dari langkah Objects to Select, cari port dan protokol yang diperlukan berdasarkan wilayah, nama EIP, dan alamat IP. Kemudian, pilih Port/Protocol dan klik Add.

Apa yang Harus Dilakukan Selanjutnya

Untuk memodifikasi kebijakan mitigasi spesifik port, pilih Port-specific Mitigation Policy di halaman Mitigation Settings. Temukan kebijakan yang ingin dimodifikasi dan klik Modify Protection Rule di kolom Actions.
Penting
Setelah memodifikasi kebijakan mitigasi, kebijakan mitigasi baru berlaku untuk semua objek yang dilindungi. Lanjutkan dengan hati-hati.
Untuk menghapus kebijakan mitigasi spesifik port, pilih Port-specific Mitigation Policy di halaman Mitigation Settings. Temukan kebijakan yang ingin dihapus dan klik Delete di kolom Actions.
Penting
Jika kebijakan mitigasi yang ingin dihapus terlampir pada objek, Anda tidak dapat menghapus kebijakan mitigasi tersebut. Anda harus melepaskan kebijakan mitigasi dari objek yang dilindungi sebelum dapat menghapus kebijakan mitigasi.
Untuk melampirkan kebijakan mitigasi ke objek untuk perlindungan atau melepaskan objek yang dilindungi dari kebijakan mitigasi, pilih Port-specific Mitigation Policy di halaman Mitigation Settings. Temukan kebijakan yang ingin dikelola dan klik Add Object for Protection di kolom Actions.

Contoh

Game Anda diterapkan menggunakan EIP dengan Anti-DDoS (Ditingkatkan) diaktifkan dan menyediakan layanan melalui TCP serta port 8191 dan 8192. Kami merekomendasikan agar Anda memblokir permintaan HTTP untuk operasi harian setelah menambahkan game untuk perlindungan, atau menggunakan alat seperti alat pengambilan paket untuk menganalisis karakteristik permintaan serangan dan memodifikasi kebijakan mitigasi spesifik port setelah game diserang.

Tabel berikut menjelaskan konfigurasi untuk memblokir permintaan HTTP.

Parameter	Deskripsi
Minimum Bytes to Trigger Matching	Atur nilainya menjadi 0.
Rule Type	Pilih Pencocokan String (ASCII).
Match Conditions	Start Position: Atur nilainya menjadi 0. Match Range in Bytes from Start Position: Atur nilai menjadi 3. Term to Match: Atur nilainya menjadi GET.
Priority	Atur nilainya menjadi 1.
Logical Operator	Atur nilainya menjadi Hit.
Action	Nilainya tetap sebagai Discard. Ketika sistem mendeteksi bahwa tiga byte pertama dari sesi adalah string GET, sistem akan membuang sesi tersebut.