当您将业务接入DDoS高防后,网站类业务把域名解析指向高防IP,非网站类的业务IP将替换成高防IP,DDoS高防将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。
图1 接入DDoS高防示意图
紧急接入场景说明
如果您的业务在接入DDoS高防前已经遭受攻击或源站IP已被黑洞,建议您在业务接入DDoS高防时参照表1进行处理。
如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。具体操作请参见更换源站ECS公网IP。
表1 紧急接入场景说明
|
业务场景
|
使用说明
|
|---|---|
业务已经遭受DDoS攻击 |
一般情况下,业务接入DDoS高防后,采用默认防护配置。 |
源站IP已被黑洞 |
如果在接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,请及时更换源站IP。 如果您的源站为华为云ELB实例,请更换ELB实例公网IP,详细操作请参见更换ECS IP。 须知: 更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。 如果您的业务部署在华为云上,而您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署弹性负载均衡(ELB)实例,并将ELB实例的公网IP作为源站IP接入DDoS高防。 |
前提条件
- 已完成业务情况进行梳理和接入前准备工作。
- 域名类业务已接入WAF。
操作步骤
1.购买DDoS高防实例。
-如果您的业务服务器部署在中国内地,请购买DDoS高防实例。
须知:
DDoS高防实例不支持接入未经ICP备案的域名。如果您需要使用D DoS高防防护网站业务,请确认网站域名已经完成ICP备案。
DDoS高防实例默认提供IPv4高防IP。如果您需要IPv6高防IP,请选择购买DDoS原生防护实例。
-如果您的业务服务器部署在中国内地以外地域,且业务主要用户来自中国内地,由于单独使用DDoS高防(国际版)不能保障中国内地用户的访问质量(存在约300毫秒的平均访问延时),建议您考虑以下方案:
如果只需要保障中国内地电信、联通和非移动线路用户的业务访问速度和稳定性,您可以单独购买DDoS高防和优选线路(无防护)。
2.根据业务类型,将业务接入DDoS高防。
3.为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您设置源站保护。
4.配置CC攻击防护策略。
-业务正常时
网站业务接入DDoS高防后,建议您在业务运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。
-正在遭受CC攻击时
通过查看DDoS高防防护日志,获取域名请求TOP URL、IP地址、访问来源IP、User-Agent等参数信息,根据实际情况配置频率控制自定义规则,并观察防护效果。
如果实际防护效果不佳,建议您购买MDR服务,协助您进一步分析日志并制定防护策略。
5.本地检查测试配置准确性。
配置完DDoS高防防护策略后,建议参照表2和表3检查测试DDoS高防配置是否正确。
表2 业务检查项说明
|
业务类型
|
检查项说明
|
|---|---|
域名类业务 |
接入配置域名是否填写正确。 域名是否备案。 接入配置协议是否与实际协议一致。 接入配置端口是否与实际提供的服务端口一致。 源站填写的IP是否是真实服务器IP,而不是错误填写为其他IP。 证书信息是否正确上传。 证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。 证书链是否完整。 是否已了解DDoS高防实例的弹性防护计费方式。 协议类型是否启用WebSocket、WebSockets协议。 |
非域名类业务 |
业务端口是否可以正常访问。 接入配置协议是否与实际协议一致,确认未错误地为TCP协议业务配置UDP协议规则等。 源站填写的IP是否是真实服务器IP,而不是错误填写为其他IP。 是否已了解DDoS高防实例的弹性防护计费方式。 |
表3 业务可用性验证项
|
验证说明
|
验证项
|
|---|---|
必检项 |
测试业务是否能够正常访问。 |
必检项 |
测试业务登录会话保持功能是否正常。 |
必检项 |
(域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。 |
建议项 |
是否配置后端服务器获取真实访问源IP。 |
建议项 |
(域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站。 |
必检项 |
测试TCP业务的端口是否可以正常访问。 |
6.切换业务流量。
本地检查验证通过后,建议采用测试的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。
须知:
-修改DNS解析记录后,需要10分钟左右生效。
-真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。
7.开启告警通知。
开启DDoS高防告警通知后,当出现以下情况时,您将接收到告警通知信息(接收消息方式由您设置),及时发现业务异常现象:
-IP遭受DDoS攻击时
-DDoS攻击峰值超过保底防护带宽而产生弹性计费时
您将在次日上午收到告警通知信息。
接入后日常维护事项说明
业务接入DDoS高防后,建议您参照表4例行维护业务。
表4 日常维护事项
|
维护事项
|
说明
|
|---|---|
弹性防护后付费 |
如果需要启用DDoS高防的弹性防护能力,请务必先查看DDoS高防的计费方式,避免实际产生的弹性防护费用超出预算。有关DDoS高防详细的服务资费和费率标准,请参见产品价格详情。 |
判断攻击类型 |
当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看DDoS高防防护日志,根据攻击流量信息判断遭受的攻击类型。 -DDoS攻击类型:在实例防护报表中有攻击流量的波动,且已触发流量清洗,但在域名防护报表中不存在相关联的波动。 -CC攻击类型: 在实例防护报表中有攻击流量的波动,已触发流量清洗,且在域名防护报表中有相关联的波动。 |
业务访问延时或丢包 |
针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况,如果用户访问网站时存在延时高、丢包等现象,主要访问用户来自非中国内地地域的情况,可能存在跨网络运营商导致的访问链路不稳定,建议您购买DDoS高防(国际版)实例并选择加速线路。 |
删除域名或端口转发配置 |
如果需要删除已防护的域名端口转发配置记录,请您确认业务是否已正式接入DDoS高防。 -如果尚未正式切换业务流量,直接删除域名或端口转发配置记录。 -如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。
-删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。 -删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。 |
说明: