網站業務接入DDoS高防後的通用防護策略 - Anti-DDoS

DDoS全域防護策略即阿里雲DDoS防護引擎基于海量歷史攻防經驗，結合即時攻防態勢沉澱的通用防護規則，設定後可以減少攻擊發生瞬間出現攻擊透過的危害。本文介紹了DDoS全域防護策略的設定方法。

全域防護策略介紹

防護模式

DDoS全域防護策略提供寬鬆、正常、嚴格三種防護模式，詳細介紹請參見下表。當您為網域名稱設定完轉寄規則時，DDoS高防會預設開啟全域防護策略，防護模式為正常，支援您手動調整防護模式。

模式	防護效果	應用情境
寬鬆	只攔截已知的特定惡意攻擊，不會對正常請求造成誤攔截。	適合網站規模較大且自身處理效能較強勁的業務防護情境。需要降低流量清洗力度時（例如，業務大促期間），推薦使用寬鬆模式。
正常（推薦）	攔截在歷史正常業務流量中不存在，但在全網惡意攻擊中出現機率高的已知惡意攻擊，對網站正常業務影響低。	適合請求量平穩、業務屬性及使用者來源不會有大幅變化的業務防護情境。
嚴格	對惡意攻擊進行嚴格防禦，可能存在部分誤攔截。重要使用嚴格模式前，建議您先聯絡阿里雲支援人員進行諮詢，避免策略調整對業務造成誤傷。	適合網站自身處理效能較差的業務防護情境。需要加強流量清洗力度時（例如，已有策略防護效果不佳的情形），推薦使用該模式。

防護模式包含的防護規則

每種防護模式包含不同數量的防護規則，目前DDoS高防共支援下表中的幾類防護規則，每個類別包含多個防護規則。當您通過攻擊分析報表或者全量日誌，識別到某個規則出現誤判對您的正常業務造成影響，您無需對防護模式進行調整，僅需將特定的防護規則予以關閉，或者對其處置動作加以適當調整即可。

防護規則類別	說明
不合法請求	由於編碼錯誤等原因，HTTP Header等內容包含不合法特徵。
類比瀏覽器請求	偽造瀏覽器發起的HTTP請求，一般觸發挑戰動作進行校正。
類比爬蟲請求	偽造爬蟲發起的HTTP請求。
攻擊工具請求	常見攻擊工具發起的HTTP請求。
高頻攻擊請求	攻擊者發起的高頻HTTP請求。
惡意攻擊請求	基於阿里雲全網攻防沉澱的惡意攻擊特徵。

不同防護模式支援的防護規則

下表中√表示該模式支援該規則，×表示該模式不支援該規則。

不同防護規則的處置動作不同，處置動作支援您手動修改調整。

观察：對命中觀察規則的請求進行日誌記錄，並允許存取該訪問請求。
挑戰：通過挑戰演算法對訪問請求的源IP地址發起校正。
攔截：阻斷該訪問請求。

規則名稱	規則ID	規則描述	預設處置動作	寬鬆	正常	嚴格
不合法請求	global_01	HTTP請求Accept包含不合法特徵#1	攔截	√	√	√
不合法請求	global_02	HTTP請求Accept-Language包含不合法特徵#1	攔截	√	√	√
不合法請求	global_0_1	HTTP請求Accept-Encoding包含不合法特徵#1	攔截	×	√	√
不合法請求	global_15	HTTP請求Accept包含不合法特徵#2	攔截	√	√	√
不合法請求	global_ge_05f8a760096d29cee462a63ab418e5c3_B_t	HTTP請求Accept包含不合法特徵#3	攔截	√	√	√
不合法請求	global_ge_0_B_t	HTTP請求Accept-Encoding包含不合法特徵#2	攔截	×	√	√
不合法請求	global_ge_0d4dbd8080c85462ea5395d1d8251da8_B_t	HTTP請求Referer包含不合法特徵#1	攔截	×	√	√
不合法請求	global_ge_0e2130d0b87abe84bd74735ec4586ab1_B_t	HTTP請求Accept包含不合法特徵#4	攔截	√	√	√
不合法請求	global_ge_1_B_t	HTTP請求Accept-Language包含不合法特徵#2	攔截	×	√	√
不合法請求	global_ge_2cfc5256bf5be8892b9356d8db40d0e3_B_t	HTTP請求Cache-Control包含不合法特徵#1	攔截	√	√	√
不合法請求	global_ge_aba03cde2fc06dd322ad0a1a46bc47d8_B_t	HTTP請求Connection包含不合法特徵#1	攔截	√	√	√
不合法請求	global_online_03	HTTP請求Referer包含不合法特徵#2	攔截	√	√	√
不合法請求	global_spv_3adcd517f14ef4295dbcb65f2b544621_B_t	HTTP請求Accept-Language包含不合法特徵#3	攔截	×	√	√
不合法請求	global_spv_a69fdbd25ac2da2984809fdc051e9d4e_B_t	HTTP請求User-Agent包含不合法特徵#1	攔截	×	×	√
類比瀏覽器請求	global_03	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#1	挑戰	×	√	×
類比瀏覽器請求	global_2_3	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#2	挑戰	×	√	×
類比瀏覽器請求	global_2_4	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#3	挑戰	×	√	×
類比瀏覽器請求	global_r_1_C	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#4	挑戰	×	√	×
類比瀏覽器請求	global_r_2_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#5	挑戰	×	√	×
類比瀏覽器請求	global_th_00922977ecc39f015bdd94e54e3f08c8_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#6	挑戰	×	√	×
類比瀏覽器請求	global_th_10_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#7	挑戰	×	√	×
類比瀏覽器請求	global_th_1db36a86783775fb36ff65e9a9471293_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#8	挑戰	×	√	×
類比瀏覽器請求	global_th_4_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#9	挑戰	×	√	×
類比瀏覽器請求	global_th_5_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#10	挑戰	×	√	×
類比瀏覽器請求	global_th_6_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#11	挑戰	×	√	×
類比瀏覽器請求	global_th_7_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#12	挑戰	×	√	×
類比瀏覽器請求	global_th_8_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#13	挑戰	×	√	×
類比瀏覽器請求	global_th_9_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#14	挑戰	×	√	×
類比瀏覽器請求	global_th_a256dec6c80b7c953a9d5cf21b193e93_C_t	HTTP請求疑似類比瀏覽器，強校正瀏覽器Header等組合特徵#1	挑戰	×	×	√
類比瀏覽器請求	global_th_e353aae960559269a5146aca41060c60_C_t	HTTP請求疑似類比瀏覽器，校正瀏覽器Header等組合特徵#15	挑戰	×	√	×
類比爬蟲請求	global_d_6587d6a0e3adb13d4949cdb59a3167c3_B_t	HTTP請求類比Google爬蟲#1	攔截	×	×	√
類比爬蟲請求	global_d_97a08ec7a4a0d131194c4fd40802dd98_B_t	HTTP請求類比百度爬蟲#1	攔截	×	×	√
類比爬蟲請求	global_d_d51505ef3de38efe92bff2163a3b4d38_B_t	HTTP請求類比Google爬蟲#2	攔截	×	×	√
攻擊工具請求	global_d_0ac87637e9fccf60e9afbe18ad6af1d9_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#1	挑戰	×	√	×
攻擊工具請求	global_d_0d0fc1037e2239562d31473e11d40909_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#1	攔截	×	√	√
攻擊工具請求	global_d_436c6492dbef6f8d43eec0c3caa86652_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#2	挑戰	×	√	√
攻擊工具請求	global_d_52d72f8b80d5877e10763d451cc05479_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#3	挑戰	×	√	√
攻擊工具請求	global_d_5e65a8ca4a9ea2339f24d93c7b2fa819_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#4	挑戰	×	√	√
攻擊工具請求	global_d_5fdc132caf63121890cb733ad4c2463e_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#2	攔截	×	√	√
攻擊工具請求	global_d_658fef4f5d139461f7135b89f5d9dd6d_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#5	挑戰	×	√	√
攻擊工具請求	global_d_839574bd00cc6f9f2a256a599829db04_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#3	攔截	×	√	√
攻擊工具請求	global_d_8917da6c5c8a6aba6ab9156cc9f89d35_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#4	攔截	×	√	√
攻擊工具請求	global_d_adc8a089ad050bd9e2ed1aed2b991526_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#6	挑戰	×	√	√
攻擊工具請求	global_d_bec67b0fe8d26adb09f375c67e355a88_C_t	HTTP請求疑似由已知攻擊工具發起，校正Header等組合特徵#7	挑戰	×	√	×
攻擊工具請求	global_d_c660088d7e2385d949fbf594461b06ac_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#5	攔截	×	√	√
攻擊工具請求	global_d_dc71e4b0d53ef00f0631b0db72e95fb7_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#6	攔截	×	√	√
攻擊工具請求	global_d_fc1c525466aaf12d4580ad03763daaf4_B_t	HTTP請求User-Agent包含已知攻擊工具請求特徵#7	攔截	×	√	√
攻擊工具請求	global_spv_2bdf9b3b14f1277aaccc38ae2b2e8a23_B_t	HTTP請求Referer包含已知攻擊工具請求特徵#1	攔截	×	√	√
攻擊工具請求	global_spv_507e041146fa3a0d8abc61b0bb0ba1bf_B_t	HTTP請求Referer包含已知攻擊工具請求特徵#2	攔截	×	√	√
攻擊工具請求	global_spv_b980df6086a5b9bded374883531ceb9a_B_t	HTTP請求Referer包含已知攻擊工具請求特徵#3	攔截	×	√	√
高頻攻擊請求	global_cc_1321b42f0967324a4581f7df931b4b64_C_t	HTTP請求首頁高頻攻擊#1	挑戰	×	×	√
高頻攻擊請求	global_cc_3ed2a1a3801ce62eee67a1804dc2682a_C_t	HTTP請求Header高頻遍曆攻擊#1	挑戰	×	×	√
高頻攻擊請求	global_cc_5d4f4eacd0d2e37f0a82ab247bcdcc50_C_t	HTTP請求特殊User-Agent高頻攻擊#1	挑戰	×	√	√
高頻攻擊請求	global_cc_958593f854099089cdec7638c11116f4_C_t	HTTP請求URI高頻遍曆攻擊#1	挑戰	×	×	√
高頻攻擊請求	global_cc_c5d86db096688b00f8ad8cb4c3a3d363_C_t	HTTP請求Header高頻遍曆攻擊#2	挑戰	×	√	√
惡意攻擊請求	global_1_1	HTTP請求Ping-To為惡意攻擊源#1	攔截	×	√	√
惡意攻擊請求	global_1_3	HTTP請求Referer包含惡意特徵#1	攔截	×	√	√
惡意攻擊請求	global_1_4	HTTP請求Accept包含惡意特徵#1	攔截	×	√	×
惡意攻擊請求	global_d_0226f8975a3bb985c7c069fff282bbdc_B_t	HTTP請求User-Agent包含惡意特徵#1	攔截	√	√	×
惡意攻擊請求	global_d_34f692ae6798abe9fc822912cfcd4cc5_B_t	HTTP請求User-Agent包含惡意特徵#2	攔截	×	×	√
惡意攻擊請求	global_d_c310e8097811299b9f3d968fe771ebc9_B_t	HTTP請求User-Agent包含惡意特徵#3	攔截	×	√	√
惡意攻擊請求	global_ge_e397de51d53a70ad1ef6daaf332de446_B_t	HTTP請求Accept-Language包含惡意特徵#1	攔截	√	√	√
惡意攻擊請求	global_hm_9c0017d9c9b1aa12ea2df4503d8fae29_B_t	HTTP要求方法包含惡意特徵#1	攔截	×	√	√
惡意攻擊請求	global_hm_c1db5bd6d4f9da9739224ca848b60e62_B_t	HTTP要求方法包含惡意特徵#2	攔截	×	√	√
惡意攻擊請求	global_online_01	HTTP請求User-Agent包含惡意特徵#4	攔截	√	√	√
惡意攻擊請求	global_online_02	HTTP請求Accept-Language包含惡意特徵#2	攔截	×	√	√
惡意攻擊請求	global_spv_0_B_t	HTTP請求Accept-Language包含惡意特徵#3	攔截	×	√	√
惡意攻擊請求	global_spv_1926afcce4ce00198eca856aaaf6fe38_B_t	HTTP請求User-Agent包含惡意特徵#5	攔截	×	√	√
惡意攻擊請求	global_spv_1_B_t	HTTP請求URI包含惡意特徵#1	攔截	×	√	√
惡意攻擊請求	global_spv_2_B_t	HTTP請求Referer包含惡意特徵#2	攔截	×	√	√
惡意攻擊請求	global_spv_4957fd08aa78f6e640f2364b087cd117_B_t	HTTP請求User-Agent包含惡意特徵#6	攔截	×	×	√
惡意攻擊請求	global_spv_4e580d90c3df0d19e71fb6947caf5489_C_t	HTTP請求Accept包含惡意特徵#2	挑戰	×	√	×

如何判斷是調整防護模式還是修改防護規則

您可以從以下幾個方面進行分析。

分析業務受影響的範圍和頻率。
- 如果業務受影響範圍廣，多種正常的使用者行為都被阻止，例如使用者登入、上傳下載等多個功能頻繁出現問題，可能是因為防護模式過於嚴格，此時可以考慮調整防護模式。
- 如果只是某一特定類型的使用者行為（如某一類特定用戶端訪問、網站首頁重新整理頻率限制）被誤判，而其他大部分業務正常，那麼可能只是個別防護規則出現問題，此時調整防護規則即可。
分析業務變更情況。
- 如果業務進行了重大的更新，例如新增了對外訪問的介面或改變了網路架構，此時出現業務受影響的情況，可能是現有的防護模式不適應新的業務形態，需要調整防護模式。
- 如果業務基本保持穩定，只是偶爾某個功能出現問題，可能是個別防護規則的設定未適配這部分業務，此時調整防護規則即可。
測試正常業務流量是否符合防護規則。
- 可以通過類比正常業務流量來測試現有防護規則和防護模式。如果類比的正常業務流量在通過防護系統時被大量攔截，此時可能需要調整防護模式。
- 若類比的正常業務流量只有在觸及某個特定規則時才出現問題，比如一個關於異常請求頻率的規則對正常的高頻率查詢業務產生誤判，此時調整防護規則即可。

如何判斷需要修改哪條防護規則

以防護規則ID為global_cc_1321b42f0967324a4581f7df931b4b64_C_t舉例。該規則主要是用於防禦HTTP請求首頁高頻攻擊，但在以下情境中可能會出現誤判：

大型促銷活動情境，活動開始時很多使用者可能會在一分鐘內頻繁重新整理首頁，這種情況下可能會導致系統誤判。
網站技術損毀修復後的情境，網站管理員需要測試網站的效能和功能是否恢複正常。為了快速進行測試，管理員可能會使用自動化測試載入器對網站首頁進行頻繁的訪問，以檢查頁面載入速度、連結可用性等多個方面，該行為可能會導致系統誤判。

您可以通過攻擊分析報表和全量日誌分析查看具體是哪個防護規則導致了系統誤判。此時可以關閉該防護策略，或者將規則處置動作改為觀察。

攻擊分析報表
您可以在攻擊分析頁面，找到Web資源耗盡型攻擊詳情，通過Top10攻防策略中查看生效的防護規則ID。
全量日誌分析
您可以在全量日誌分析頁面，通過last_owner欄位查看生效的防護規則ID。其中ID以global開頭的為全域防護策略。

注意事項

2021年11月24日及之後接入DDoS高防的網域名稱：預設開啟了DDoS全域防護策略（正常模式）。
2021年11月24日前接入DDoS高防的網域名稱：DDoS全域防護策略預設關閉，建議您手動為網域名稱開啟該功能。

前提條件

已將網站業務接入DDoS高防。具體操作，請參見添加網站配置。

修改防護規則

登入DDoS高防控制台的通用防護策略頁面。
在頂部功能表列左上方處，根據DDoS高防產品選擇地區。
- DDoS高防（中國內地）：選擇中國內地地區。
- DDoS高防（非中國內地）：選擇非中國內地地區。
單擊網站業務DDoS防護頁簽，並從左側網域名稱列表中選擇要設定的網域名稱。
定位到DDoS全局防护策略地區，修改防護模式或單擊設定修改防護模式中的具體防護規則。