全部产品
Search
文档中心

DDoS 防护:防护非网站业务

更新时间:Feb 22, 2024

如果您要防护的是非网站业务(例如App),在购买DDoS高防实例后,您需要配置端口转发规则,然后使用DDoS高防的独享IP作为您的业务IP实现业务接入,才能正式将业务流量切换到DDoS高防。本文介绍如何快速为非网站业务配置DDoS高防。

背景信息

与网站业务不同,非网站业务配置后只进行四层转发。因此为非网站业务配置DDoS高防后,DDoS高防只支持四层防护(例如,防护SYN Flood、UDP Flood等),不会去解析七层报文的内容,也不提供基于七层报文的防护(例如,CC攻击、Web攻击防护等)。接入非网站业务时,您只需配置DDoS高防实例的端口转发规则,然后使用DDoS高防的独享IP作为业务IP即可。

前提条件

已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例

步骤一:添加端口转发规则

业务接入DDoS高防前,您需要先添加端口转发规则,业务流量会根据您配置的规则进行转发。

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 端口接入

  4. 端口接入页面,选择目标DDoS高防实例,添加端口转发规则。

    • 添加单条规则

      单击添加规则,完成规则配置后单击确定

      配置项

      说明

      转发协议

      转发协议类型,可选值:TCP、UDP。

      转发端口

      DDoS高防实例使用的转发端口。

      说明
      • 为了便于管理,建议您将转发端口源站端口保持一致。

      • 为了防止私自搭建DNS防护服务器,DDoS高防不支持53端口接入配置。

      • 同一DDoS高防实例和转发协议下,每条规则的转发端口必须唯一。当您尝试添加同协议+同转发端口的规则时,系统将提示规则冲突。

      • 请避免与通过网站配置自动生成的规则冲突。

      源站端口

      源站使用的业务端口。

      源站IP

      源站的IP地址。

      说明

      支持添加多个源站IP以实现自动负载均衡。多个IP间以半角逗号(,)分隔。最多可配置20个源站IP。

    • 批量添加规则

      1. 在页面下方,单击批量操作 > 添加规则

      2. 添加规则对话框,按照格式要求填入要添加的规则配置,并单击确定

        每行对应一条规则,每条规则包含四个字段,从左到右依次是协议、转发端口、源站端口、源站IP,字段间以空格分隔。

      3. 添加规则对话框,选中要上传的规则,并单击上传

步骤二:将业务接入DDoS高防

端口转发规则创建完成后,您还需要将要防护的实际业务IP替换为DDoS高防的独享IP,才能正式将业务流量切换到DDoS高防。完成切换后,业务流量会先经过DDoS高防清洗,再转发到源站服务器。

  1. 在源站服务器上设置放行DDoS高防的回源IP,避免DDoS高防转发回源站的流量被源站服务器上的安全软件拦截。具体操作,请参见放行DDoS高防回源IP

  2. 通过本地计算机验证规则配置已经生效,避免规则配置不正确导致业务异常。具体操作,请参见本地验证转发配置生效

    警告

    如果规则未生效就执行业务切换,将可能导致业务中断。

  3. 将非网站业务的业务流量切换到DDoS高防实例。

    通常您只需将业务IP替换为DDoS高防实例的独享IP,即可正式将业务流量切换至DDoS高防实例,具体操作请以业务开发平台实际情况为准。

    说明
    • 如果您的业务同时使用域名来指定服务器地址(例如,游戏客户端中设置example.com域名作为服务器地址,或该域名已经写在客户端程序中),您无需配置域名接入,但需要在域名的DNS解析服务提供商处修改DNS解析,将该域名的A记录指向DDoS高防实例的独享IP。具体操作,请参见修改DNS解析

    • 在某些场景下,您可能需要用域名来接入四层业务,并实现业务关联多高防IP且多高防IP间自动切换流量。这种情况下,推荐您通过添加域名并修改CNAME解析来接入非网站业务。具体操作,请参见CNAME解析接入非网站业务

步骤三:设置端口转发和防护策略

完成业务流量切换后,DDoS高防使用默认策略帮助您清洗和转发流量。您可以根据业务需要,自定义DDoS防护策略和开启会话保持、健康检查,优化DDoS高防的转发功能。

端口接入页面,选择目标DDoS高防实例后,定位到目标转发规则,根据业务需要进行如下配置。

配置项

说明

会话保持

如果您的非网站业务接入DDoS高防后存在登录超时需要重新登录、上传数据断开等问题,您可以开启会话保持功能。会话保持可以在指定的时间范围内将同一客户端的请求转发至同一台后端服务器上。

  1. 单击会话保持列的配置

  2. 会话保持对话框,根据需要开启或关闭会话保持。

    • 开启会话保持:设置超时时间,然后单击设置超时时间并开启

    • 关闭会话保持:单击关闭会话保持

健康检查

适用于业务有多个源站IP时,判断源站服务器的业务可用性,在转发客户端请求时避开异常服务器。

  1. 单击健康检查列下的配置

  2. 健康检查面板,根据需要开启或关闭健康检查。

    1. 开启健康检查:打开开启健康检查,完成配置后单击确定。具体操作,请参见健康检查配置项说明

    2. 关闭健康检查:关闭开启健康检查,然后单击确定

DDoS 防护策略

开启DDoS防护策略,可以对接入DDoS高防的非网站业务的连接速度、包长度等参数进行限制,缓解小流量的连接型攻击。

  1. 单击DDoS 防护策略列下的配置

  2. 非网站业务DDoS防护页签,根据需要为当前转发规则设置DDoS防护策略,包括虚假源、目的限速、包长度过滤、源限速。

    • 虚假源:针对虚假IP发起的DDoS攻击进行校验过滤。

    • 目的限速:以当前高防IP、端口为统计对象,当每秒访问频率超出阈值时,对当前高防IP的端口进行限速,其余端口不受限速影响。

    • 包长度过滤:设置允许通过的包最小和最大长度,小于最小长度或者大于最大长度的包会被丢弃。

    • 源限速:以当前高防IP、端口为统计对象,对访问频率超出阈值的源IP地址进行限速。访问速率未超出阈值的源IP地址,访问不受影响。源限速支持黑名单控制,对于60秒内5次超限的源IP,您可以启用将源IP加入黑名单的策略,并设置黑名单的有效时长。

    更多信息,请参见设置DDoS防护策略

步骤四:查看端口防护数据

非网站业务接入DDoS高防后,您可以在DDoS高防的安全总览页面查看端口流量转发数据。

  1. 在左侧导航栏,单击安全总览

  2. 单击实例页签,设置要查询的实例和时间范围,查看相关信息。

    功能名称

    说明

    带宽(图示①)

    • DDoS高防(中国内地):提供带宽趋势图,以bps或者pps展示指定时间段内实例上的入流量、出流量、攻击流量、限速流量趋势。

    • DDoS高防(非中国内地):提供三个页签,分别是总览(与带宽趋势图相同)、入方向分布(入方向流量的分布信息)、出方向分布(出方向流量的分布信息)。

    连接数(图示②)

    • 并发连接数:客户端同一时间与DDoS高防建立的TCP连接数量。

      • 活跃连接数:当前所有状态为Established的TCP连接数量。

      • 非活跃连接数:当前除了Established状态以外,所有其他状态的TCP连接数量。

    • 新建连接数:客户端每秒内新增的与DDoS高防通信的TCP连接数。

    网络层攻击事件规格超限告警目的限速事件(图示③)

    • 网络层攻击事件

      将光标放置在被攻击的IP或端口上,可以查看被攻击的IP和端口信息、攻击的类型和峰值、防护结果。

    • 规格超限告警

      事件类型包含业务带宽、新建连接数和并发连接数。当事件类型对应规格超过购买的规格时会进行提示,对当前业务无影响,建议扩容升级。具体操作,请参见升级实例

      您可以单击状态列的详情跳转到系统日志页面,查看详细信息。

      说明

      超限告警数据的更新时间为每周一的10:00(GMT+8),更新后的数据为前一天的规格超限告警数据。如果您配置了站内信、短信或邮件通知,您也将会在每周一的10:00(GMT+8)收到对应通知,且数据为前一天的规格超限告警数据。

    • 目的限速事件

      当业务的新建连接数、并发连接数或业务带宽等远超实例规格时,会触发对应的限速策略,对业务产生影响,产生目的限速事件。

      • 如果是正常业务触发的限速,请尽快扩容升级。具体操作,请参见升级实例

      • 如果是遭受了DDoS攻击触发的限速,请及时调整防护策略。具体操作,请参见防护设置

      您可以单击状态列的详情跳转到系统日志页面,查看详细信息。

    正常业务地区分布正常业务运营商分布(图示④)

    • 正常业务地区分布:正常业务流量的来源地区分布。

    • 正常业务运营商分布:正常业务流量的运营商分布。