DDoS高防提供針對網路四層DDoS攻擊的防護原則設定功能,例如虛假源和空串連檢測、源限速、目的限速,適用於最佳化調整非網站業務的DDoS防護策略。本文介紹如何添加DDoS防護策略。
功能介紹
非網站業務的DDoS防護策略是基於“IP地址+連接埠”層級的防護,對於已接入DDoS高防執行個體的非網站業務的“IP+連接埠”的連線速度、包長度等參數進行限制,實現緩解小流量的串連型攻擊的防護能力。DDoS防護策略配置針對連接埠層級生效。
DDoS高防為已接入的非網站業務提供以下DDoS防護策略。
虛假源:針對虛假IP發起的DDoS攻擊進行校正過濾。
進階攻擊防護:針對基於Mirai等殭屍網路建立TCP三向交握後,短時間內發送海量異常報文的DDoS攻擊行為進行識別和攔截。
說明IPv4高防IP支援配置,IPv6高防IP不支援配置。
報文特徵過濾:基於會話報文payload特徵,對正常業務特徵或攻擊報文特徵進行精準識別和防護,也可基於應用程式層協議進行相關的匹配策略配置。
說明僅DDoS高防(中國內地)的增強版套餐的IPv4高防IP支援配置。
白名單:基於連接埠維度設定白名單,來自白名單IP的訪問請求直接允許存取,不會被攔截。
源限速:以當前高防IP、連接埠為統計對象,對訪問頻率超出閾值的源IP地址進行限速。訪問速率未超出閾值的源IP地址,訪問不受影響。源限速支援黑名單控制,對於60秒內5次超限的源IP,您可以開啟將源IP加入黑名單的策略,並設定黑名單的有效時間長度。
目的限速:以當前高防IP、連接埠為統計對象,當每秒訪問頻率超出閾值時,對當前高防IP的連接埠進行限速,其餘連接埠不受限速影響。
包長度過濾:設定允許通過的包最小和最大長度,小於最小長度或者大於最大長度的包會被丟棄。
前提條件
已將非網站業務接入DDoS高防。具體操作,請參見配置連接埠轉寄規則。
設定單條DDoS防護策略
登入DDoS高防控制台的通用防護策略頁面。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在通用防護策略頁面,單擊非網站業務DDoS防護頁簽,並在頁面上方選擇要設定的DDoS高防執行個體。
從左側轉寄規則列表中單擊要設定的轉寄規則,配置防護策略。
虛假源:僅適用於TCP連接埠轉寄規則。
參數
描述
虛假源
開啟後將自動過濾虛假源IP地址的串連請求。
關閉虛假源時,會同步關閉空串連。
關閉虛假源,空串連和進階攻擊防護均不生效。
空串連
開啟後將自動過濾空串連請求,必須先開啟虛假源才能開啟空串連。
進階攻擊防護:僅適用於TCP連接埠轉寄規則,開啟後防護等級預設為正常模式。開啟進階攻擊防護,必須先開啟虛假源。
防護等級
防護效果
應用情境
寬鬆
對有明顯攻擊特徵的請求進行攔截,可能存在少量漏過,但誤殺率極低。
適合於直播、流媒體、下載等具備單向大量傳輸的業務或者來源站點頻寬較大的業務。
正常(推薦)
一般情況下,不會對正常業務造成影響,能夠充分平衡防護效果和誤殺率,建議您在一般情況下選擇該等級。
適用於絕大多數業務情境。
嚴格
對惡意攻擊進行嚴格校正,但可能存在一定誤殺。
適合來源站點頻寬較小或防護效果不佳的情境。
報文特徵過濾:基於會話報文(payload),設定自訂的精準存取控制規則。單條規則下如果配置了多個匹配條件,必須同時滿足才執行對應動作。
說明AI智能防護下發的智能精準存取控制規則,也在此處顯示。
參數
描述
規則名稱
自訂的規則名稱。
匹配條件
匹配條件:會話報文(payload)的格式,支援選擇 字串、十六進位。
區間匹配:匹配的payload開始、結束位置。開始位置、結束位置取值:0~1499,單位為Byte,開始位置<=結束位置。
邏輯符:取值為包含、不包含。
匹配內容:
匹配條件為字串時,匹配內容長度不大於1500,匹配內容長度<=結束位置-開始位置+1 。
匹配條件為十六進位時,匹配內容必須是十六進位字元,長度不大於3000,且必須是偶數,匹配內容長度/2<= 結束位置-開始位置+1 。
動作
观察:命中觀察規則,允許存取該訪問請求。
阻斷:命中阻斷規則,拒絕該訪問請求。
阻斷並拉黑:命中阻斷規則,拒絕該訪問請求,並將源IP拉黑。拉黑處置時間長度支援設定300秒~600秒。
白名單:每個白名單中最多支援手動添加2000個IP或IP段。
IPv4的DDoS高防執行個體僅支援配置IPv4格式的IP或網段,IPv6的DDoS高防執行個體僅支援配置IPv6格式的IP或網段。
IPv4的網段支援/8~/32,IPv6網段支援/32~/128。
IPv4地址不支援配置為0.0.0.0和255.255.255.255。IPv6地址不支援配置為::和ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff。
源限速:
參數
描述
源新建串連限速
限制單一源IP的每秒建立串連數量,取值範圍:1~50000(個)。超過限制的建立串連將被丟棄。
自動:系統將動態自動計算源建立串連限速閾值,無需手動設定。
手動:需要手動設定源建立串連限速閾值。
說明由於防護裝置為叢集化部署,建立串連限速存在一定誤差。
黑名單策略 :
支援源新建串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
源並發串連限速
限制單一源IP的並發串連數量,取值範圍:1~50000(個)。超過限制的並發串連將被丟棄。
黑名單策略:
支援源並發串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
源PPS限速
限制單一源IP的包轉寄數量,取值範圍:1~100000(Packet/s)。超過限制的資料包將被丟棄。
黑名單策略 :
支援源PPS串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
源帶寬限速
限制單一源IP的源請求頻寬,取值範圍:1024~268435456(Byte/s)。
黑名單策略:
支援源頻寬串連60秒內5次超限,將該源IP加入黑名單選項,源IP若進入黑名單,則其串連請求都將被丟棄。
開啟黑名單策略時,需要設定黑名單有效時間長度,取值範圍:1~10080(分鐘),預設為30分鐘。源IP被加入黑名單時,經有效時間長度後自動被釋放。
目的限速:TCP連接埠轉寄規則和UDP連接埠轉寄規則的預設設定不同。
TCP連接埠轉寄規則
參數
描述
目的新建串連限速
限制高防IP連接埠每秒最大建立串連數,超過限制的建立串連將被丟棄。 取值範圍:100~100,000(個)。
預設開啟,取值為100,000。
不支援關閉,如果您執行關閉操作,取值會恢複為預設值100,000。
說明由於防護裝置為叢集化部署,建立串連限速存在一定誤差。
目的並發串連限速
限制高防IP連接埠的最大並發串連數量,超過限制的並發串連將被丟棄。取值範圍:1000~2,000,000(個)。
預設開啟,取值為2,000,000。
不支援關閉,如果您執行關閉操作,取值會恢複為預設值2,000,000。
UDP連接埠轉寄規則
參數
描述
目的新建串連限速
限制高防IP連接埠每秒最大建立串連數,超過限制的建立串連將被丟棄。
預設關閉。取值範圍:100~50,000(個)。
說明由於防護裝置為叢集化部署,建立串連限速存在一定誤差。
目的並發串連限速
限制高防IP連接埠的最大並發串連數量,超過限制的並發串連將被丟棄。取值範圍:1,000~200,000(個)。
預設開啟,取值為200,000。
不支援關閉,如果您執行關閉操作,會恢複為預設值200,000。
包長度過濾:單擊包長度過濾下的設定,設定允許通過高防IP連接埠的報文所含payload的最小和最大長度,取值範圍:0~1500(Byte),並單擊確定。
大量新增DDoS防護策略
登入DDoS高防控制台。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在連接埠接入頁面,選擇DDoS高防執行個體,並單擊規則列表下方的。
在添加DDoS防護策略對話方塊,按照格式要求輸入要添加的防護策略內容,並單擊確定。
說明您也可以先大量匯出當前DDoS防護策略,在匯出的txt檔案中統一調整後再將內容複寫粘貼進來。匯出檔案中的DDoS防護策略格式和大量新增DDoS防護策略的格式要求一致。更多資訊,請參見大量匯出。
每行對應一條轉寄規則的DDoS防護策略。
每條DDoS防護策略從左至右包含以下欄位:轉寄協議連接埠、轉寄協議(tcp、udp)、源建立串連限速、源並發串連限速、目的建立串連限速、目的並發串連限速、包長度最小值、包長度最大值、虛假源開關、空串連開關。欄位間以空格分隔。
轉寄協議連接埠必須是已配置轉寄規則的連接埠。
虛假源開關和空串連開關的取值是:on、off。若為空白則表示關閉(即off)。