云服务器内容精选

  • 紧急接入场景说明 如果您的业务在接入DDoS高防前已经遭受攻击或源站IP已被黑洞,建议您在业务接入DDoS高防时参照表1进行处理。 如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。具体操作请参见更换源站E CS 公网IP。 表1 紧急接入场景说明 业务场景 使用说明 业务已经遭受DDoS攻击 一般情况下,业务接入DDoS高防后,采用默认防护配置。 源站IP已被黑洞 如果在接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,请及时更换源站IP。 如果您的源站为华为云ELB实例,请更换ELB实例公网IP,详细操作请参见更换源站ECS公网IP。 须知: 更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。 如果您的业务部署在华为云上,而您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署弹性负载均衡(ELB)实例,并将ELB实例的公网IP作为源站IP接入DDoS高防。
  • 操作步骤 购买DDoS高防实例。 如果您的业务服务器部署在中国内地,请购买DDoS高防实例。 DDoS高防实例不支持接入未经ICP备案的 域名 。如果您需要使用DDoS高防防护网站业务,请确认网站域名已经完成ICP备案。 DDoS高防实例默认提供IPv4高防IP。如果您需要IPv6高防IP,请选择购买DDoS原生防护实例。 如果您的业务服务器部署在中国内地以外地域,且业务主要用户来自中国内地,由于单独使用DDoS高防(国际版)不能保障中国内地用户的访问质量(存在约300毫秒的平均访问延时),建议您考虑以下方案: 如果只需要保障中国内地电信、联通和非移动线路用户的业务访问速度和稳定性,您可以单独购买DDoS高防和优选线路(无防护)。 参考域名类业务接入DDoS高防,将业务接入DDoS高防。 为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您设置源站保护。 有关源站保护的详细操作,请参见设置源站保护。 配置CC攻击防护策略。 业务正常时 网站业务接入DDoS高防后,建议您在业务运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。 正在遭受CC攻击时 通过查看DDoS高防防护日志,获取域名请求TOP URL、IP地址、访问来源IP、User-Agent等参数信息,根据实际情况配置频率控制自定义规则,并观察防护效果。 如果实际防护效果不佳,建议您购买MDR服务,协助您进一步分析日志并制定防护策略。 本地检查测试配置准确性。 配置完DDoS高防防护策略后,建议参照表2和表3检查测试DDoS高防配置是否正确。 有关本地验证的详细操作,请参见本地验证。 表2 业务检查项说明 业务类型 检查项说明 域名类业务 接入配置域名是否填写正确。 域名是否备案。 接入配置协议是否与实际协议一致。 接入配置端口是否与实际提供的服务端口一致。 源站填写的IP是否是真实服务器IP,而不是错误填写为其他IP。 证书信息是否正确上传。 证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。 证书链是否完整。 是否已了解DDoS高防实例的弹性防护计费方式。 协议类型是否启用WebSocket、WebSockets协议。 表3 业务可用性验证项 验证说明 验证项 必检项 测试业务是否能够正常访问。 必检项 测试业务登录会话保持功能是否正常。 必检项 (域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。 建议项 是否配置后端服务器获取真实访问源IP。 建议项 (域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站。 必检项 测试TCP业务的端口是否可以正常访问。 切换业务流量。 本地检查验证通过后,建议采用测试的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。 修改DNS解析记录后,需要10分钟左右生效。 真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。 开启告警通知。 开启DDoS高防告警通知后,当出现以下情况时,您将接收到告警通知信息(接收消息方式由您设置),及时发现业务异常现象: IP遭受DDoS攻击时 DDoS攻击峰值超过保底防护带宽而产生弹性计费时 您将在次日上午收到告警通知信息。
  • 接入后日常维护事项说明 业务接入DDoS高防后,建议您参照表4例行维护业务。 表4 日常维护事项 维护事项 说明 弹性防护后付费 如果需要启用DDoS高防的弹性防护能力,请务必先查看DDoS高防的计费方式,避免实际产生的弹性防护费用超出预算。有关DDoS高防详细的服务资费和费率标准,请参见产品价格详情。 判断攻击类型 当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看DDoS高防防护日志,根据攻击流量信息判断遭受的攻击类型。 DDoS攻击类型:在实例防护报表中有攻击流量的波动,且已触发流量清洗,但在域名防护报表中不存在相关联的波动。 CC攻击类型: 在实例防护报表中有攻击流量的波动,已触发流量清洗,且在域名防护报表中有相关联的波动。 业务访问延时或丢包 针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况,如果用户访问网站时存在延时高、丢包等现象,主要访问用户来自非中国内地地域的情况,可能存在跨网络运营商导致的访问链路不稳定,建议您购买DDoS高防(国际版)实例并选择加速线路。 删除域名或端口转发配置 如果需要删除已防护的域名端口转发配置记录,请您确认业务是否已正式接入DDoS高防。 如果尚未正式切换业务流量,直接删除域名或端口转发配置记录。 如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。 说明: 删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。 删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。
  • 准备工作 业务接入DDoS高防前,请您根据实际的业务类型完成如表2所示准备工作。 业务接入DDoS高防时,建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。 表2 接入DDoS高防前准备工作 业务类型 准备工作 网站业务 获取需要接入的网站域名信息,包含网站的源站服务器IP(仅支持公网IP的防护)、端口信息等。 确认所接入的网站域名已完成ICP备案。 如果您的网站支持HTTPS协议访问,您需要准备相应的证书和私钥信息,一般包含格式为“.crt”的公钥文件或格式为“.pem”的证书文件、格式为“.key”的私钥文件。 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录,将网站流量切换至DDoS高防。 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。 业务接入DDoS高防后,需要将这些信任的客户端IP加入白名单。 非网站业务 获取业务对外提供服务的端口、协议类型。 如果业务通过域名访问,需要准备DNS域名解析管理员账号,用于修改DNS解析记录将网站流量切换至DDoS高防。
  • 网站业务梳理 建议您参照表1对业务情况进行全面梳理,了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能提供指导依据。 表1 网站业务梳理 梳理项 说明 网站和业务信息 域名是否完成ICP备案 查询域名是否备案,域名如果没有备案无法接入DDoS高防。 网站/应用业务每天的流量峰值情况,包括Mbps、QPS 判断风险时间点,作为选择DDoS高防实例的业务带宽和业务QPS规格的依据。 业务的主要用户群体(例如,访问用户的主要来源地域) 方便业务接入后配置DDoS高防的海外/UDP流量封禁策略。 源站是否部署在非中国内地地域 源站部署在非中国内地地域时,建议购买DDoS高防(国际版)服务。 源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等) 判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。如果有,需要在源站上设置放行DDoS高防的回源IP。有关放行DDoS高防回源IP的详细操作,请参见放行高防回源IP段。 业务是否需要支持IPv6协议 如果您的业务需要支持IPv6协议,建议您使用DDoS原生高级防护。有关DDoS原生高级防护的详细介绍,请参见什么是DDoS原生高级防护?。 业务使用的协议类型 用于后续业务接入DDoS高防时配置网站信息,选择对应的协议。 业务端口 判断源站业务端口是否在DDoS高防的支持端口范围内。有关DDoS高防支持的业务端口说明,请参加DDoS高防支持哪些业务端口?。 请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制 判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。如果有,请提交工单联系技术支持人员协助分析。 业务是否有获取并校验真实源IP机制 接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。 如果需要请提前部署TOA模块或从x-forwarded-for获取真实源IP。 (针对HTTPS业务)服务端是否使用双向认证 DDoS高防暂不支持双向认证,需要变更认证方式。 (针对HTTPS业务)是否存在会话保持机制 如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。 业务是否存在空连接 例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。 业务是否使用了CDN 如果业务使用了CDN,请确保业务支持以下两种方案: 动态资源引流到DDoS高防,静态资源引流到CDN 无法分离发生攻击时手动切换到DDoS高防 业务是否要求使用专线回源 DDoS高防不支持专线回源。 业务使用的域名个数及转发规则个数 有关DDoS高防规格的详细介绍,请参见功能规格。 业务及攻击情况 用户遭受的历史TOP攻击类型和流量大小 UDP带宽型攻击+数值 HTTP CC攻击+数值 TCP连接类攻击+数值 业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) 便于在后续攻防过程中分析攻击特征。 业务流量(入方向) 帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。 业务流量(出方向) 帮助后续判断是否遭受攻击,并且作为是否需要扩展业务带宽的参考依据。 单用户、单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型,设置针对性的DDoS防护策略。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防功能规格的选择。 业务是否遭受过CC攻击(HTTP Flood) 通过分析历史攻击特征,配置预防性策略。 业务遭受过最大的CC攻击峰值QPS 通过分析历史攻击特征,配置预防性策略。 用户群体属性 例如,个人用户、网吧用户、通过代理访问的用户。用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。 当前业务是否正在受DDoS攻击 如果业务正在遭受DDoS攻击,接入DDoS高防需要更换源站IP。
  • 网站业务梳理 建议您参照表1对业务情况进行全面梳理,了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能提供指导依据。 表1 网站业务梳理 梳理项 说明 网站和业务信息 域名是否完成ICP备案 查询域名是否备案,域名如果没有备案无法接入DDoS高防。 网站/应用业务每天的流量峰值情况,包括Mbps、QPS 判断风险时间点,作为选择DDoS高防实例的业务带宽和业务QPS规格的依据。 业务的主要用户群体(例如,访问用户的主要来源地域) 方便业务接入后配置DDoS高防的海外/UDP流量封禁策略。 源站是否部署在非中国内地地域 源站部署在非中国内地地域时,建议购买DDoS高防(国际版)服务。 源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等) 判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。如果有,需要在源站上设置放行DDoS高防的回源IP。有关放行DDoS高防回源IP的详细操作,请参见放行高防回源IP段。 业务是否需要支持IPv6协议 如果您的业务需要支持IPv6协议,建议您使用DDoS原生高级防护。有关DDoS原生高级防护的详细介绍,请参见什么是DDoS原生高级防护?。 业务使用的协议类型 用于后续业务接入DDoS高防时配置网站信息,选择对应的协议。 业务端口 判断源站业务端口是否在DDoS高防的支持端口范围内。有关DDoS高防支持的业务端口说明,请参加DDoS高防支持哪些业务端口?。 请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制 判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。如果有,请提交工单联系技术支持人员协助分析。 业务是否有获取并校验真实源IP机制 接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。 如果需要请提前部署TOA模块或从x-forwarded-for获取真实源IP。 (针对HTTPS业务)服务端是否使用双向认证 DDoS高防暂不支持双向认证,需要变更认证方式。 (针对HTTPS业务)是否存在会话保持机制 如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。 业务是否存在空连接 例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。 业务是否使用了CDN 如果业务使用了CDN,请确保业务支持以下两种方案: 动态资源引流到DDoS高防,静态资源引流到CDN 无法分离发生攻击时手动切换到DDoS高防 业务是否要求使用专线回源 DDoS高防不支持专线回源。 业务使用的域名个数及转发规则个数 有关DDoS高防规格的详细介绍,请参见功能规格。 业务及攻击情况 用户遭受的历史TOP攻击类型和流量大小 UDP带宽型攻击+数值 HTTP CC攻击+数值 TCP连接类攻击+数值 业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) 便于在后续攻防过程中分析攻击特征。 业务流量(入方向) 帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。 业务流量(出方向) 帮助后续判断是否遭受攻击,并且作为是否需要扩展业务带宽的参考依据。 单用户、单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型,设置针对性的DDoS防护策略。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防功能规格的选择。 业务是否遭受过CC攻击(HTTP Flood) 通过分析历史攻击特征,配置预防性策略。 业务遭受过最大的CC攻击峰值QPS 通过分析历史攻击特征,配置预防性策略。 用户群体属性 例如,个人用户、网吧用户、通过代理访问的用户。用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。 当前业务是否正在受DDoS攻击 如果业务正在遭受DDoS攻击,接入DDoS高防需要更换源站IP。
  • 准备工作 业务接入DDoS高防前,请您根据实际的业务类型完成如表2所示准备工作。 业务接入DDoS高防时,建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。 表2 接入DDoS高防前准备工作 业务类型 准备工作 网站业务 获取需要接入的网站域名信息,包含网站的源站服务器IP(仅支持公网IP的防护)、端口信息等。 确认所接入的网站域名已完成ICP备案。 如果您的网站支持HTTPS协议访问,您需要准备相应的证书和私钥信息,一般包含格式为“.crt”的公钥文件或格式为“.pem”的证书文件、格式为“.key”的私钥文件。 具有网站DNS域名解析管理员的帐号,用于修改DNS解析记录,将网站流量切换至DDoS高防。 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。 业务接入DDoS高防后,需要将这些信任的客户端IP加入白名单。 非网站业务 获取业务对外提供服务的端口、协议类型。 如果业务通过域名访问,需要准备DNS域名解析管理员账号,用于修改DNS解析记录将网站流量切换至DDoS高防。