DDoS 高防提供针对网络四层 DDoS 攻击的防护策略设置功能,例如虚假源和空连接检测、源限速、目的限速,适用于优化调整非网站业务的 DDoS 防护策略。本文介绍如何添加 DDoS 防护策略。
功能介绍
非网站业务的 DDoS 防护策略是基于”IP 地址+端口”级别的防护,对于已接入 DDoS 高防实例的非网站业务的”IP+端口”的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护能力。 DDoS 防护策略配置针对端口级别生效。
DDoS 高防为已接入的非网站业务提供以下 DDoS 防护策略。
虚假源:针对虚假 IP 发起的 DDoS 攻击进行校验过滤。
高级攻击防护:针对基于 Mirai 等僵尸网络建立 TCP 三次握手后,短时间内发送海量异常报文的 DDoS 攻击行为进行识别和拦截。
说明IPv4 高防 IP 支持配置, IPv6 高防 IP 不支持配置。
会话特征过滤:基于会话报文 payload 特征,对正常业务特征或攻击报文特征进行精准识别和防护,也可基于应用层协议进行相关的匹配策略配置。
说明仅 DDoS 高防(中国内地)的增强版套餐的 IPv4 高防 IP 支持配置。
白名单:基于端口维度设置白名单,来自白名单 IP 的访问请求直接放行,不会被拦截。
源限速:以当前高防 IP 、端口为统计对象,对访问频率超出阈值的源 IP 地址进行限速。访问速率未超出阈值的源 IP 地址,访问不受影响。源限速支持黑名单控制,对于 60 秒内 5 次超限的源 IP ,您可以开启将源 IP 加入黑名单的策略,并设置黑名单的有效时长。
目的限速:以当前高防 IP 、端口为统计对象,当每秒访问频率超出阈值时,对当前高防 IP 的端口进行限速,其余端口不受限速影响。
包长度过滤:设置允许通过高防 IP 端口的报文所含 payload 的最小和最大长度,小于最小长度或者大于最大长度的包会被丢弃。
前提条件
已将非网站业务接入DDoS高防。具体操作,请参见配置端口转发规则。
设置单条 DDoS 防护策略
登录DDoS高防控制台的通用防护策略页面。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在通用防护策略页面,单击非网站业务DDoS防护页签,并在页面上方选择要设置的 DDoS 高防实例。
从左侧转发规则列表中单击要设置的转发规则,配置防护策略。
虚假源:仅适用于 TCP 端口转发规则。
参数
描述
虚假源
开启后将自动过滤虚假源 IP 地址的连接请求。
关闭虚假源时,会同步关闭空连接。
关闭虚假源,空连接和高级攻击防护均不生效。
空连接
开启后将自动过滤空连接请求,必须先开启虚假源才能开启空连接。
高级攻击防护:仅适用于 TCP 端口转发规则,开启后防护等级默认为正常模式。开启高级攻击防护,必须先开启虚假源。
防护等级
防护效果
应用场景
宽松
对有明显攻击特征的请求进行拦截,可能存在少量漏过,但误杀率极低。
适合于直播、流媒体、下载等具备单向大量传输的业务或者源站带宽较大的业务。
正常(推荐)
一般情况下,不会对正常业务造成影响,能够充分平衡防护效果和误杀率,建议您在一般情况下选择该等级。
适用于绝大多数业务场景。
严格
对恶意攻击进行严格校验,但可能存在一定误杀。
适合源站带宽较小或防护效果不佳的场景。
会话特征过滤:基于会话报文( payload ),设置自定义的精准访问控制规则。单条规则下如果配置了多个匹配条件,必须同时满足才执行对应动作。
说明AI 智能防护下发的智能精准访问控制规则,也在此处显示。
参数
描述
规则名称
自定义的规则名称。
匹配条件
匹配条件:会话报文( payload )的格式,支持选择 字符串、十六进制。
区间匹配:匹配的 payload 开始、结束位置。开始位置、结束位置取值: 0~1499 ,单位为 Byte ,开始位置<=结束位置。
逻辑符:取值为包含、不包含。
匹配内容:
匹配条件为字符串时,匹配内容长度不大于 1500 ,匹配内容长度<=结束位置-开始位置+1 。
匹配条件为十六进制时,匹配内容必须是十六进制字符,长度不大于 3000 ,且必须是偶数,匹配内容长度/2<= 结束位置-开始位置+1 。
动作
观察:命中观察规则,放行该访问请求。
阻断:命中阻断规则,拒绝该访问请求。
阻断并拉黑:命中阻断规则,拒绝该访问请求,并将源 IP 拉黑。拉黑处置时长支持设置 300 秒~600 秒。
白名单:每个白名单中最多支持手动添加 2000 个 IP 或 IP 段。
IPv4 的 DDoS 高防实例仅支持配置 IPv4 格式的 IP 或网段, IPv6 的 DDoS 高防实例仅支持配置 IPv6 格式的 IP 或网段。
IPv4 的网段支持/8~/32 , IPv6 网段支持/32~/128 。
IPv4 地址不支持配置为 0.0.0.0 和 255.255.255.255 。 IPv6 地址不支持配置为::和 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 。
源限速:
参数说明:
参数
描述
源新建连接限速
限制单一源 IP 的每秒新建连接数量,取值范围: 1~50000 (个)。超过限制的新建连接将被丢弃。
自动:系统将动态自动计算源新建连接限速阈值,无需手动设置。
手动:需要手动设置源新建连接限速阈值。
说明由于防护设备为集群化部署,新建连接限速存在一定误差。
源并发连接限速
限制单一源 IP 的并发连接数量,取值范围: 1~50000 (个)。超过限制的并发连接将被丢弃。
源PPS限速
限制单一源 IP 的包转发数量,取值范围: 1~100000 ( Packet/s )。超过限制的数据包将被丢弃。
源带宽限速
限制单一源 IP 的源请求带宽,取值范围: 1024~268435456 ( Byte/s )。
黑名单策略 :
支持源新建连接60秒内5次超限,将该源IP加入黑名单选项,源 IP 若进入黑名单,则其连接请求都将被丢弃。
开启黑名单策略时,需要设置黑名单有效时长,取值范围: 1~10080 (分钟),默认为 30 分钟。源 IP 被加入黑名单时,经有效时长后自动被释放。
目的限速: TCP 端口转发规则和 UDP 端口转发规则的默认设置不同。
TCP 端口转发规则
参数
描述
目的新建连接限速
限制高防 IP 端口每秒最大新建连接数,超过限制的新建连接将被丢弃。 取值范围: 100~100,000 (个)。
默认开启,取值为 100,000 。
不支持关闭,如果您执行关闭操作,取值会恢复为默认值 100,000 。
说明由于防护设备为集群化部署,新建连接限速存在一定误差。
目的并发连接限速
限制高防 IP 端口的最大并发连接数量,超过限制的并发连接将被丢弃。取值范围: 1000~2,000,000 (个)。
默认开启,取值为 2,000,000 。
不支持关闭,如果您执行关闭操作,取值会恢复为默认值 2,000,000 。
UDP 端口转发规则
参数
描述
目的新建连接限速
限制高防 IP 端口每秒最大新建连接数,超过限制的新建连接将被丢弃。
默认关闭。取值范围: 100~50,000 (个)。
说明由于防护设备为集群化部署,新建连接限速存在一定误差。
目的并发连接限速
限制高防 IP 端口的最大并发连接数量,超过限制的并发连接将被丢弃。取值范围: 1,000~200,000 (个)。
默认开启,取值为 200,000 。
不支持关闭,如果您执行关闭操作,会恢复为默认值 200,000 。
包长度过滤:单击包长度过滤下的设置,设置允许通过高防 IP 端口的报文所含 payload 的最小和最大长度,取值范围: 0~1500 ( Byte ),并单击 确定。
批量添加 DDoS 防护策略
登录DDoS高防控制台。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏,选择。
在端口接入页面,选择 DDoS 高防实例,并单击规则列表下方的。
在添加DDoS防护策略对话框,按照格式要求输入要添加的防护策略内容,并单击确定。
说明您也可以先批量导出当前 DDoS 防护策略,在导出的 txt 文件中统一调整后再将内容复制粘贴进来。导出文件中的 DDoS 防护策略格式和批量添加 DDoS 防护策略的格式要求一致。更多信息,请参见批量导出。
每行对应一条转发规则的 DDoS 防护策略。
每条 DDoS 防护策略从左到右包含以下字段:转发协议端口、转发协议( tcp 、 udp )、源新建连接限速、源并发连接限速、目的新建连接限速、目的并发连接限速、包长度最小值、包长度最大值、虚假源开关、空连接开关。字段间以空格分隔。
转发协议端口必须是已配置转发规则的端口。
虚假源开关和空连接开关的取值是: on 、 off 。若为空则表示关闭(即 off )。