DDoS全局防护策略即阿里云DDoS防护引擎基于海量历史攻防经验,结合实时攻防态势沉淀的通用防护规则,设置后可以减少攻击发生瞬间出现攻击透过的危害。本文介绍了DDoS全局防护策略的设置方法。
全局防护策略介绍
防护模式
DDoS全局防护策略提供宽松、正常、严格三种防护模式,详细介绍请参见下表。当您为域名设置完转发规则时,DDoS高防会默认开启全局防护策略,防护模式为正常,支持您手动调整防护模式。
|
模式 |
防护效果 |
应用场景 |
|
宽松 |
只拦截已知的特定恶意攻击,不会对正常请求造成误拦截。 |
|
|
正常(推荐) |
拦截在历史正常业务流量中不存在,但在全网恶意攻击中出现概率高的已知恶意攻击,对网站正常业务影响低。 |
适合请求量平稳、业务属性及用户来源不会有大幅变化的业务防护场景。 |
|
严格 |
对恶意攻击进行严格防御,可能存在部分误拦截。 重要
使用严格模式前,建议您先联系阿里云技术支持进行咨询,避免策略调整对业务造成误伤。 |
|
防护模式包含的防护规则
每种防护模式包含不同数量的防护规则,目前DDoS高防共支持下表中的几类防护规则,每个类别包含多个防护规则。当您通过攻击分析报表或者全量日志,识别到某个规则出现误判对您的正常业务造成影响,您无需对防护模式进行调整,仅需将特定的防护规则予以关闭,或者对其处置动作加以适当调整即可。
|
防护规则类别 |
说明 |
|
不合法请求 |
由于编码错误等原因,HTTP Header等内容包含不合法特征。 |
|
模拟浏览器请求 |
伪造浏览器发起的HTTP请求,一般触发挑战动作进行校验。 |
|
模拟爬虫请求 |
伪造爬虫发起的HTTP请求。 |
|
攻击工具请求 |
常见攻击工具发起的HTTP请求。 |
|
高频攻击请求 |
攻击者发起的高频HTTP请求。 |
|
恶意攻击请求 |
基于阿里云全网攻防沉淀的恶意攻击特征。 |
不同防护模式支持的防护规则
下表中√表示该模式支持该规则,×表示该模式不支持该规则。
不同防护规则的处置动作不同,处置动作支持您手动修改调整。
-
观察:对命中观察规则的请求进行日志记录,并放行该访问请求。
-
挑战:通过挑战算法对访问请求的源IP地址发起校验。
-
拦截:阻断该访问请求。
|
规则名称 |
规则ID |
规则描述 |
默认处置动作 |
宽松 |
正常 |
严格 |
|
不合法请求 |
global_01 |
HTTP请求Accept包含不合法特征#1 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_02 |
HTTP请求Accept-Language包含不合法特征#1 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_0_1 |
HTTP请求Accept-Encoding包含不合法特征#1 |
拦截 |
× |
√ |
√ |
|
不合法请求 |
global_15 |
HTTP请求Accept包含不合法特征#2 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_ge_05f8a760096d29cee462a63ab418e5c3_B_t |
HTTP请求Accept包含不合法特征#3 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_ge_0_B_t |
HTTP请求Accept-Encoding包含不合法特征#2 |
拦截 |
× |
√ |
√ |
|
不合法请求 |
global_ge_0d4dbd8080c85462ea5395d1d8251da8_B_t |
HTTP请求Referer包含不合法特征#1 |
拦截 |
× |
√ |
√ |
|
不合法请求 |
global_ge_0e2130d0b87abe84bd74735ec4586ab1_B_t |
HTTP请求Accept包含不合法特征#4 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_ge_1_B_t |
HTTP请求Accept-Language包含不合法特征#2 |
拦截 |
× |
√ |
√ |
|
不合法请求 |
global_ge_2cfc5256bf5be8892b9356d8db40d0e3_B_t |
HTTP请求Cache-Control包含不合法特征#1 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_ge_aba03cde2fc06dd322ad0a1a46bc47d8_B_t |
HTTP请求Connection包含不合法特征#1 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_online_03 |
HTTP请求Referer包含不合法特征#2 |
拦截 |
√ |
√ |
√ |
|
不合法请求 |
global_spv_3adcd517f14ef4295dbcb65f2b544621_B_t |
HTTP请求Accept-Language包含不合法特征#3 |
拦截 |
× |
√ |
√ |
|
不合法请求 |
global_spv_a69fdbd25ac2da2984809fdc051e9d4e_B_t |
HTTP请求User-Agent包含不合法特征#1 |
拦截 |
× |
× |
√ |
|
模拟浏览器请求 |
global_03 |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#1 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_2_3 |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#2 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_2_4 |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#3 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_r_1_C |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#4 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_r_2_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#5 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_00922977ecc39f015bdd94e54e3f08c8_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#6 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_10_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#7 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_1db36a86783775fb36ff65e9a9471293_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#8 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_4_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#9 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_5_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#10 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_6_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#11 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_7_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#12 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_8_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#13 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_9_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#14 |
挑战 |
× |
√ |
× |
|
模拟浏览器请求 |
global_th_a256dec6c80b7c953a9d5cf21b193e93_C_t |
HTTP请求疑似模拟浏览器,强校验浏览器Header等组合特征#1 |
挑战 |
× |
× |
√ |
|
模拟浏览器请求 |
global_th_e353aae960559269a5146aca41060c60_C_t |
HTTP请求疑似模拟浏览器,校验浏览器Header等组合特征#15 |
挑战 |
× |
√ |
× |
|
模拟爬虫请求 |
global_d_6587d6a0e3adb13d4949cdb59a3167c3_B_t |
HTTP请求模拟Google爬虫#1 |
拦截 |
× |
× |
√ |
|
模拟爬虫请求 |
global_d_97a08ec7a4a0d131194c4fd40802dd98_B_t |
HTTP请求模拟百度爬虫#1 |
拦截 |
× |
× |
√ |
|
模拟爬虫请求 |
global_d_d51505ef3de38efe92bff2163a3b4d38_B_t |
HTTP请求模拟Google爬虫#2 |
拦截 |
× |
× |
√ |
|
攻击工具请求 |
global_d_0ac87637e9fccf60e9afbe18ad6af1d9_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#1 |
挑战 |
× |
√ |
× |
|
攻击工具请求 |
global_d_0d0fc1037e2239562d31473e11d40909_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#1 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_436c6492dbef6f8d43eec0c3caa86652_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#2 |
挑战 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_52d72f8b80d5877e10763d451cc05479_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#3 |
挑战 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_5e65a8ca4a9ea2339f24d93c7b2fa819_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#4 |
挑战 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_5fdc132caf63121890cb733ad4c2463e_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#2 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_658fef4f5d139461f7135b89f5d9dd6d_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#5 |
挑战 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_839574bd00cc6f9f2a256a599829db04_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#3 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_8917da6c5c8a6aba6ab9156cc9f89d35_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#4 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_adc8a089ad050bd9e2ed1aed2b991526_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#6 |
挑战 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_bec67b0fe8d26adb09f375c67e355a88_C_t |
HTTP请求疑似由已知攻击工具发起,校验Header等组合特征#7 |
挑战 |
× |
√ |
× |
|
攻击工具请求 |
global_d_c660088d7e2385d949fbf594461b06ac_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#5 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_dc71e4b0d53ef00f0631b0db72e95fb7_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#6 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_d_fc1c525466aaf12d4580ad03763daaf4_B_t |
HTTP请求User-Agent包含已知攻击工具请求特征#7 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_spv_2bdf9b3b14f1277aaccc38ae2b2e8a23_B_t |
HTTP请求Referer包含已知攻击工具请求特征#1 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_spv_507e041146fa3a0d8abc61b0bb0ba1bf_B_t |
HTTP请求Referer包含已知攻击工具请求特征#2 |
拦截 |
× |
√ |
√ |
|
攻击工具请求 |
global_spv_b980df6086a5b9bded374883531ceb9a_B_t |
HTTP请求Referer包含已知攻击工具请求特征#3 |
拦截 |
× |
√ |
√ |
|
高频攻击请求 |
global_cc_1321b42f0967324a4581f7df931b4b64_C_t |
HTTP请求首页高频攻击#1 |
挑战 |
× |
× |
√ |
|
高频攻击请求 |
global_cc_3ed2a1a3801ce62eee67a1804dc2682a_C_t |
HTTP请求Header高频遍历攻击#1 |
挑战 |
× |
× |
√ |
|
高频攻击请求 |
global_cc_5d4f4eacd0d2e37f0a82ab247bcdcc50_C_t |
HTTP请求特殊User-Agent高频攻击#1 |
挑战 |
× |
√ |
√ |
|
高频攻击请求 |
global_cc_958593f854099089cdec7638c11116f4_C_t |
HTTP请求URI高频遍历攻击#1 |
挑战 |
× |
× |
√ |
|
高频攻击请求 |
global_cc_c5d86db096688b00f8ad8cb4c3a3d363_C_t |
HTTP请求Header高频遍历攻击#2 |
挑战 |
× |
√ |
√ |
|
恶意攻击请求 |
global_1_1 |
HTTP请求Ping-To为恶意攻击源#1 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_1_3 |
HTTP请求Referer包含恶意特征#1 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_1_4 |
HTTP请求Accept包含恶意特征#1 |
拦截 |
× |
√ |
× |
|
恶意攻击请求 |
global_d_0226f8975a3bb985c7c069fff282bbdc_B_t |
HTTP请求User-Agent包含恶意特征#1 |
拦截 |
√ |
√ |
× |
|
恶意攻击请求 |
global_d_34f692ae6798abe9fc822912cfcd4cc5_B_t |
HTTP请求User-Agent包含恶意特征#2 |
拦截 |
× |
× |
√ |
|
恶意攻击请求 |
global_d_c310e8097811299b9f3d968fe771ebc9_B_t |
HTTP请求User-Agent包含恶意特征#3 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_ge_e397de51d53a70ad1ef6daaf332de446_B_t |
HTTP请求Accept-Language包含恶意特征#1 |
拦截 |
√ |
√ |
√ |
|
恶意攻击请求 |
global_hm_9c0017d9c9b1aa12ea2df4503d8fae29_B_t |
HTTP请求方法包含恶意特征#1 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_hm_c1db5bd6d4f9da9739224ca848b60e62_B_t |
HTTP请求方法包含恶意特征#2 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_online_01 |
HTTP请求User-Agent包含恶意特征#4 |
拦截 |
√ |
√ |
√ |
|
恶意攻击请求 |
global_online_02 |
HTTP请求Accept-Language包含恶意特征#2 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_spv_0_B_t |
HTTP请求Accept-Language包含恶意特征#3 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_spv_1926afcce4ce00198eca856aaaf6fe38_B_t |
HTTP请求User-Agent包含恶意特征#5 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_spv_1_B_t |
HTTP请求URI包含恶意特征#1 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_spv_2_B_t |
HTTP请求Referer包含恶意特征#2 |
拦截 |
× |
√ |
√ |
|
恶意攻击请求 |
global_spv_4957fd08aa78f6e640f2364b087cd117_B_t |
HTTP请求User-Agent包含恶意特征#6 |
拦截 |
× |
× |
√ |
|
恶意攻击请求 |
global_spv_4e580d90c3df0d19e71fb6947caf5489_C_t |
HTTP请求Accept包含恶意特征#2 |
挑战 |
× |
√ |
× |
如何判断是调整防护模式还是修改防护规则
您可以从以下几个方面进行分析。
-
分析业务受影响的范围和频率。
-
如果业务受影响范围广,多种正常的用户行为都被阻止,例如用户登录、上传下载等多个功能频繁出现问题,可能是因为防护模式过于严格,此时可以考虑调整防护模式。
-
如果只是某一特定类型的用户行为(如某一类特定客户端访问、网站首页刷新频率限制)被误判,而其他大部分业务正常,那么可能只是个别防护规则出现问题,此时调整防护规则即可。
-
-
分析业务变更情况。
-
如果业务进行了重大的更新,例如新增了对外访问的接口或改变了网络架构,此时出现业务受影响的情况,可能是现有的防护模式不适应新的业务形态,需要调整防护模式。
-
如果业务基本保持稳定,只是偶尔某个功能出现问题,可能是个别防护规则的设置未适配这部分业务,此时调整防护规则即可。
-
-
测试正常业务流量是否符合防护规则。
-
可以通过模拟正常业务流量来测试现有防护规则和防护模式。如果模拟的正常业务流量在通过防护系统时被大量拦截,此时可能需要调整防护模式。
-
若模拟的正常业务流量只有在触及某个特定规则时才出现问题,比如一个关于异常请求频率的规则对正常的高频率查询业务产生误判,此时调整防护规则即可。
-
如何判断需要修改哪条防护规则
以防护规则ID为global_cc_1321b42f0967324a4581f7df931b4b64_C_t举例。该规则主要是用于防御HTTP请求首页高频攻击,但在以下场景中可能会出现误判:
-
大型促销活动场景,活动开始时很多用户可能会在一分钟内频繁刷新首页,这种情况下可能会导致系统误判。
-
网站技术故障修复后的场景,网站管理员需要测试网站的性能和功能是否恢复正常。为了快速进行测试,管理员可能会使用自动化测试工具对网站首页进行频繁的访问,以检查页面加载速度、链接可用性等多个方面,该行为可能会导致系统误判。
您可以通过攻击分析报表和全量日志分析查看具体是哪个防护规则导致了系统误判。此时可以关闭该防护策略,或者将规则处置动作改为观察。
-
攻击分析报表
您可以在攻击分析页面,找到Web资源耗尽型攻击详情,通过Top10攻防策略中查看生效的防护规则ID。在左侧导航栏选择调查分析 > 攻击分析,查看各防护策略的拦截次数统计(如频率控制、区域封禁、精准访问控制等)。在右侧Top10攻防策略面板中,可查看按拦截次数排名的防护规则列表,单击防护设置可跳转至对应规则进行修改。
-
全量日志分析
您可以在全量日志分析页面,通过
last_owner字段查看生效的防护规则ID。其中ID以global开头的为全局防护策略。在左侧导航栏选择调查分析 > 全量日志分析,在顶部搜索框中输入
last_owner,左侧索引字段面板会展示该字段的值分布及各规则 ID 的命中占比。
注意事项
-
2021年11月24日及之后接入DDoS高防的域名:默认开启了DDoS全局防护策略(正常模式)。
-
2021年11月24日前接入DDoS高防的域名:DDoS全局防护策略默认关闭,建议您手动为域名开启该功能。
前提条件
已将网站业务接入DDoS高防。具体操作,请参见添加网站配置。
修改防护规则
登录DDoS高防控制台的通用防护策略页面。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
-
单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
-
定位到DDoS全局防护策略区域,修改防护模式或单击设置修改防护模式中的具体防护规则。