DDoS 高防 IP 提供面向 DDoS 攻击的高级防护策略功能,用户可针对自身业务防护需求对 DDoS 防护策略进行调整和优化。通过黑白名单、禁用协议、端口禁用(丢弃)或放行、报文特征过滤策略、连接耗尽防护、水印防护等功能,为业务提供针对性防护。
配置项 | 功能简介 | 生效时间 |
---|---|---|
黑白名单 | 基于 IP 地址级别的防护。
|
当被防护的 IP 处于被攻击状态时生效。 |
禁用协议 | 可禁用业务不使用的协议。 当检测到攻击行为时,大禹高防集群会清洗掉该协议的流量。 |
当被防护的 IP 处于被攻击状态时生效。 |
端口禁用(丢弃)或放行 | 可禁用或放行来自指定类型端口的流量。 | 当检测到攻击行为时,大禹高防集群会清洗掉(或放行)该指定端口或指定端口范围的流量。 |
报文过滤特征 | 可以针对业务报文特征或攻击报文特征,将协议、端口范围、包长范围、是否检测载荷、偏移量、检查深度、是否包括特征字符串等条件进行组合,设定策略动作。 当检测到报文匹配到策略条件时,可以执行直接转发、丢弃、拉黑源 IP 或断开连接等操作。 |
当被防护的 IP 处于被攻击状态时生效。 |
限速 | 基于目的IP的防护,对访问协议进行限速控制。 | 当被防护的 IP 处于被攻击状态时生效。 |
拒绝海外流量 | 可拒绝来自中国(大陆地区及港澳台)以外的 TCP 流量请求。 | 当被防护的 IP 处于被攻击状态时生效。 |
连接耗尽防护 | 基于 IP 地址的防护,对于接入高防 IP 的非网站业务的 IP 的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护功能。 | 当被防护的 IP 处于被攻击状态时生效。 |
异常连接检测 | 当一个源 IP 接收到的一个 TCP 连接符合所配置的参数特征时,将判断为异常连接,同时当该源 IP 所接收到的异常连接数超过所设置的最大异常连接数时,会被加入黑名单一定时间,禁止被访问。 | 当被防护的 IP 处于被攻击状态时生效。 |
水印防护 | 支持 UDP 和 TCP 报文,在配置的端口范围内,其载荷进行水印检测和剥离。通过接入水印防护,高效全面防护 4 层 CC 攻击,如模拟业务报文攻击和重放攻击等。
|
当被防护的 IP 处于被攻击状态时生效。 |
高级安全防护策略功能具有一定专业性,建议有相关经验的用户在阅读以下操作指南后根据实际情况进行配置。
登录 DDoS 防护管理控制台,选择【DDoS 高防 IP】>【防护配置】。在【DDoS 高级防护策略】页签,单击【添加新策略】。根据实际业务需求设置以下参数,单击【确定】。
策略名称
输入策略名称,长度为1 - 32个字符,不限制字符类型。
黑白名单
黑白 IP 名单之和最多支持添加100个 IP,批量添加的 IP 数不允许超过当前配额。
禁用协议
选择需要禁用的协议,支持可选的禁用协议有 ICMP、TCP、UDP 和其他协议,这里的其他协议指除了 ICMP、TCP、UDP 以外的协议。
端口号
选择协议和端口类型,然后填写对应的端口,根据您的业务选择丢弃或放行动作。若需要对连续的端口范围进行配置,您可以按照”起始端口-结束端口”进行配置。
报文过滤特征
支持将协议、端口范围、包长范围、是否检测载荷、偏移量、检查深度、是否包括特征字符串等条件进行组合,设定策略动作且即刻生效。
- 偏移量:表示报文内容中开始匹配的特征的位置。
- 检查深度:配合偏移量使用,表示从偏移量设定的位置开始向后匹配的报文内容长度。
- 策略:
- “丢弃报文”表示丢弃匹配该报文过滤特征的数据包。
- “丢弃且拉黑源 IP”表示丢弃匹配该报文过滤特征的数据包并将源 IP 临时拉黑一段时间。
- “丢弃且断开连接”表示丢弃匹配该报文过滤特征的数据包并断开 TCP 连接。
- “丢弃,断开连接且拉黑源 IP”表示丢弃匹配该报文过滤特征的数据包,同时断开 TCP 连接并将源 IP 临时拉黑一段时间。
- “直接转发”表示直接转发匹配该报文过滤特征的数据包。
限速
单击【添加】,选择需要限速的协议,设置限速阈值。支持限速的可选协议有 ICMP、TCP、UDP 和其他协议,这里的其他协议指除了 ICMP、TCP、UDP 以外的协议。
拒绝海外流量
勾选开启或关闭。DDoS 高防 IP 的防护引擎内置海外 IP 库,开启拒绝海外流量后将基于该 IP 库对来源进行判断并执行阻断。勾选【开启】时,需处于被攻击状态才生效。勾选【关闭】时即刻生效。
连接耗尽防护
异常连接检测
只有开启源 IP 最大异常连接数,以下参数才能进行配置。
TCP 协议防护端口、UDP 协议防护端口
TCP/UDP 防护端口最多可以配置5个端口段;不同端口段不可以互相重合;起止端口号相同则认为是一个端口;TCP 或 UDP协议端口段中需要至少配置一条。
只有在配置 UDP 协议端口段时,才可进行 UDP 水印剥离,同时可以指定水印标签在 UDP 报文中的偏移量。
UDP 水印剥离
勾选 【自动剥离 UDP 报文水印】。数据报文经过大禹高防系统后,自动剥离 UDP 报文中的水印,再前传到源站。
若不需要大禹安全防护系统剥离 UDP 协议水印,则客户端仍需要做剥离水印的改造。
偏移量
指定水印标签在 UDP 报文中的偏移量,默认为0,可填范围 0-99。偏移量只有在 UDP 水印剥离开启后才起作用。
登录 DDoS 防护管理控制台,选择【DDoS 高防 IP】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【绑定资源】。
登录 DDoS 防护管理控制台,选择【DDoS 高防 IP】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【水印客户端文件下载】,线下完成客户端的接入。
登录 DDoS 防护管理控制台,选择【DDoS 高防 IP】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【水印密钥配置】。
最多可存在2个密钥,如果需要添加新密钥,请先删掉其中一个旧密钥;当仅有一个密钥生效时,不可将其停用或删除。
登录 DDoS 防护管理控制台,选择【DDoS 高防 IP】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【配置】。根据实际业务需求更新以下参数,单击【确定】保存修改。
当目的策略是以“业务场景名称_policy_序号”形式命名的,则不能对策略名称进行修改。
登录 DDoS 防护管理控制台,选择【DDoS 高防 IP】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【删除】。在弹出的对话框中,单击【确定】。
本页内容是否解决了您的问题?