全部產品
Search

搜尋本產品

    :業務接入DDoS高防後存在卡頓、延遲、訪問不通等問題

    文件中心

    :業務接入DDoS高防後存在卡頓、延遲、訪問不通等問題

    更新時間:May 28, 2025

    問題描述

    業務接入DDoS高防後,使用者訪問業務時存在異常卡頓、延遲、訪問不通等問題。

    問題排查步驟

    1. 收集受影響的訪問地址,並通過Traceroute或MTR等工具進行鏈路測試,定位是哪個節點的問題。

      說明 
      mtr --no-dns [$IP]
      說明

      [$IP]為您收集受影響的訪問地址。

      系統顯示類似如下,發現有個節點存在延遲。業務接入DDoS高防後存在卡頓、延遲、訪問不通等問題

    2. 分析延遲是否在正常範圍內。

      由於DDoS高防採用代理機制,流量代理與安全監測等環節均會在一定程度上導致訪問延遲增加,此外由於不同用戶端所處地區以及所屬電訊廠商存在差異,實際產生的訪問延遲也會各不相同,以下為接入DDoS高防後的時延參考值。

      • DDoS高防(中國內地):中國內地使用者訪問73~113ms,非中國內地使用者訪問約313ms。

      • DDoS高防(非中國內地):

        • 保險防護、無憂防護:非中國內地使用者訪問60~100ms,中國內地使用者訪問約300ms。

        • 加速線路、安全加速線路:網路延遲小於50ms。

      • 如果延遲在正常範圍內,您可以從以下幾個方面考慮減少延遲:

        • 選擇距離較近的防護節點:根據來源站點的地理位置選擇,使流量能夠在離目標端更近的節點進行處理,減少資料轉送的距離和跳數,從而降低延遲。DDoS高防提供了華北(北京)、華東(杭州)節點供您選擇,如需選擇請聯絡商務經理。詳細介紹,請參見購買DDoS高防執行個體

        • 使用DDoS高防流量調度器功能:來源站點是阿里雲產品時,可以使用DDoS高防的流量調度器功能,網路流量僅在遭受攻擊時經過DDoS高防,而在無攻擊的正常情況下,流量可直接抵達來源站點。詳細介紹,請參見流量調度器

        • 搭配使用CDN、DCDN或GTM等網路加速產品:高防服務負責抵禦DDoS等網路攻擊,確保網路的安全性和穩定性;而CDN、DCDN 和 GTM 等產品則專註於最佳化網路效能,提高使用者的訪問速度和體驗,從而降低延遲。但需要注意使用其他加速產品時您需要為加速產品付費。

      • 延遲遠超正常範圍時,確認該延遲節點的Host值,是DDoS高防後端節點地址還是DDoS高防的地址。

    解決方案

    如果業務緊急建議您先跳過DDoS高防,直接存取來源站點,優先保證業務正常運行,然後在參考以下步驟排查處理:

    DDoS高防後端節點異常分析與處理

    您需要根據DDoS高防後端節點的類型,選擇對應的排查步驟。

    來源站點類型

    排查步驟

    Server Load Balancer

    1. 使用TCPing工具,檢測SLB的IP地址和連接埠,查看是否有異常。詳情請參見DDoS高防清洗事件分析與處理

    2. 檢查SLB狀態是否有異常,例如串連數是否超過規格預設最大串連數。

    3. 檢查SLB是否設定了存取控制,或者其他的存取控制策略。

      如有,請確認已經允許存取了DDoS高防的回源IP網段。更多資訊,請參見允許存取DDoS高防回源IP

    4. 檢查SLB後端的伺服器,確認是否有安全軟體或其他IP封鎖策略誤攔截了DDoS高防的回源IP。如有,請確認已經允許存取了DDoS高防的回源IP網段。更多資訊,請參見允許存取DDoS高防回源IP

      說明

      後端伺服器配置SLB後,如果無法識別訪問者的真實源IP(沒有使用七層負載平衡),對後端伺服器來說所有的請求都是來自高防回源IP段,因此分攤到每個回源IP上的請求量會增大很多,如果有安全軟體進行惡意IP識別並阻斷,則可能會誤攔截高防叢集本身的回源IP,而此類回源IP都需要允許存取。

    5. 確認SLB IP地址是否暴露,若無法判斷或已暴露,建議您更換SLB,否則駭客可能會繞過DDoS高防直接攻擊來源站點。

    Elastic Compute Service

    1. 使用TCPing工具,檢測ECS執行個體IP和連接埠,查看記錄是否有異常。詳情請參見DDoS高防清洗事件分析與處理

    2. 檢查ECS執行個體是否有例外狀況事件,例如伺服器本身黑洞及清洗事件、CPU使用率高、資料庫請求慢、出方向頻寬高等。

    3. 檢查ECS執行個體是否設定了安全性群組、安全軟體或其他的存取控制策略。如有,請確認已經允許存取了DDoS高防的回源IP網段。更多資訊,請參見允許存取DDoS高防回源IP

    4. 確認非網站業務是否添加真實源IP允許訪問ECS執行個體的安全性群組。

    5. 確認ECS執行個體IP是否暴露,若無法判斷或已暴露,駭客可能會繞過DDoS高防直接攻擊ECS執行個體。建議您更換來源站點ECS執行個體IP。更多資訊,請參見更換來源站點ECS公網IP

    非阿里雲伺服器

    1. 使用TCPing工具,檢測伺服器IP和連接埠,查看記錄是否有異常。詳情請參見DDoS高防清洗事件分析與處理

    2. 檢查伺服器是否有例外狀況事件,例如CPU高、資料庫請求慢、出方向頻寬滿等。

    3. 檢查伺服器本身是否設定了黑、白名單,安全軟體或者其他的存取控制策略。如有,請確認已經允許存取了DDoS高防的回源IP網段。更多資訊,請參見允許存取DDoS高防回源IP

    4. 確認伺服器IP是否暴露,若無法判斷或已暴露,建議您更換伺服器IP,不要使用之前已暴露的IP。否則駭客可能會繞過DDoS高防直接攻擊伺服器。

    Cloud Firewall、WAF等安全產品

    同時部署DDoS高防、WAF、Cloud Firewall時,業務流量走向為如下兩種,請先排查是否已允許存取DDoS高防回源IP,然後再進行排查。

    • DDoS->WAF(CNAME接入)->Cloud Firewall->後端伺服器

      請在WAF控制台的安全報表頁面,查看源IP是否被WAF的防護規則誤攔截,如有推薦您添加IP白名單或者允許存取命中的規則ID。具體操作,請參見設定白名單規則允許存取特定請求

      image

    • DDoS->Cloud Firewall->WAF(雲產品接入)->後端伺服器

      1. 請在Cloud Firewall控制台的日誌審計頁面,查看IP是否被IPS規則誤攔截。image

      2. 添加源IP到地址簿。具體操作,請參見地址簿管理

      3. 將地址簿添加到IPS白名單。具體操作,請參見IPS配置image

    DDoS高防問題

    您可以在DDoS高防控制台執行個體管理頁面查看高防執行個體的狀態。如果是出現以下狀態,請選擇對應的方法處理:

    • 清洗中

      當網路流量超過清洗閾值時,阿里雲會開始對攻擊流量進行清洗,此時可能會導致卡頓或者延遲問題。

    • 黑洞中

      假如您的伺服器遭受大流量攻擊而進入黑洞,那麼除阿里雲內部和該伺服器同地區的雲產品仍然能夠正常連通該伺服器外,其他所有來自外部的流量都會被丟棄。

    DDoS高防清洗事件分析與處理

    如下圖所示,表示DDoS高防執行個體有清洗事件,問題可能是清洗事件引起。使用TCPing工具,分別對受攻擊連接埠和未被攻擊連接埠進行延遲和丟包的測試:執行個體狀態

    根據記錄結果,對照下表定位並解決問題。

    受攻擊連接埠

    有延時、丟包

    未被攻擊連接埠

    有延時、丟包

    問題分析處理

    說明不是清洗策略的原因,清洗策略未導致誤殺。

    建議您查看後端伺服器狀態是否異常,確認後端伺服器的抗攻擊效能。若伺服器抗攻擊能力較弱,DDoS高防需要收緊防禦策略。您可以根據以下參數,分析伺服器抗攻擊能力並調整DDoS高防的防禦策略。

    • 正常使用者訪問情況

    • 業務主要互動過程

    • 應用對外服務能力

    清洗策略導致出現問題。

    說明不是清洗策略的原因,清洗策略正常。

    一般不存在這種情況。

    DDoS高防黑洞事件分析與處理

    1. 如下圖所示,說明DDoS高防執行個體有黑洞事件。請確認進入黑洞的DDoS高防執行個體的IP,以及受影響的訪問請求都經過該IP。執行個體狀態-黑洞中

    2. 建議您使用DDoS高防的解除黑洞功能,解除黑洞狀態。每個阿里雲帳號每天共擁有五次解除黑洞機會,具體操作請參見解除黑洞

      為避免解鎖後再次進入黑洞,建議您升級DDoS高防執行個體的防護能力。

    更多資訊

    本小節主要介紹TCPing工具,TCPing工具使用TCP的方式去查看連接埠情況,可以檢測出TCP延遲及串連情況。您可以單擊下載TCPing工具

    • Windows使用方法

      將Windows版的TCPing工具拷貝至Windows系統上,開啟命令列工具,進入TCPing工具所在目錄,在命令列中運行tcping [$Domain_Name] [$Port]

      說明

      • [$Domain_Name]為您需要檢測的網域名稱或IP地址。

      • [$Port]為需要檢測的連接埠號碼。

      系統顯示類似如下。

      Probing 192.168.XX.XX:80/tcp - Port is open - time=19.550ms
Probing 140.XXX.XXX.8:80/tcp - Port is open - time=8.761ms
Probing 192.168.XX.XX:80/tcp - Port is open - time=10.899ms
Probing 192.168.XX.XX:80/tcp - Port is open - time=13.013ms

Ping statistics for 192.168.XX.XX:80
     4 probes sent.
     4 successful, 0 failed.
Approximate trip times in milli-seconds:
     Minimum = 8.761ms, Maximum = 19.550ms, Average = 13.056ms

    • Linux使用方法

      1. 上傳Linux版的TCPing工具,依次執行以下命令,安裝TCPing工具。

        tar zxvf tcping-1.3.5.tar.gz
cd tcping-1.3.5
make tcping.linux

      2. 執行以下命令,進行檢測。

        for ((i=0; i<10; ++i)) ; do ./tcping www.example.com 80;done

        系統顯示類似如下。

        www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.
www.example.com port 80 open.