更新时间:2024-09-29 GMT+08:00
分享

业务接入DDoS高防

当您将业务接入DDoS高防后,网站类业务把域名解析指向高防IP,DDoS高防将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。
图1 接入DDoS高防示意图

紧急接入场景说明

如果您的业务在接入DDoS高防前已经遭受攻击或源站IP已被黑洞,建议您在业务接入DDoS高防时参照表1进行处理。

如果在接入DDoS高防前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认是否在客户端或App端中通过代码直接指向源站IP,在这种情况下,请先更新客户端或App端代码后再更换源站IP,避免影响业务正常访问。具体操作请参见更换源站ECS公网IP

表1 紧急接入场景说明

业务场景

使用说明

业务已经遭受DDoS攻击

一般情况下,业务接入DDoS高防后,采用默认防护配置。

源站IP已被黑洞

如果在接入DDoS高防前,业务源站服务器已被攻击且触发黑洞策略,请及时更换源站IP。

如果您的源站为华为云ELB实例,请更换ELB实例公网IP,详细操作请参见更换源站ECS公网IP

须知:
  • 更换源站IP后,请尽快将业务接入DDoS高防进行防护,避免源站IP暴露。
  • 如果您的业务部署在华为云上,而您不希望更换源站IP,或者已经更换源站IP但仍存在IP暴露的情况,建议您在源站ECS服务器前部署弹性负载均衡(ELB)实例,并将ELB实例的公网IP作为源站IP接入DDoS高防。

前提条件

  • 已完成业务情况进行梳理和接入前准备工作。
  • 域名类业务已接入WAF。

操作步骤

  1. 购买DDoS高防实例

    • 如果您的业务服务器部署在中国内地,请购买DDoS高防实例。
      • DDoS高防实例不支持接入未经ICP备案的域名。如果您需要使用DDoS高防防护网站业务,请确认网站域名已经完成ICP备案。
      • DDoS高防实例默认提供IPv4高防IP。如果您需要IPv6高防IP,请选择购买DDoS原生防护实例。
    • 如果您的业务服务器部署在中国内地以外地域,且业务主要用户来自中国内地,由于单独使用DDoS高防(国际版)不能保障中国内地用户的访问质量(存在约300毫秒的平均访问延时),建议您考虑以下方案:

      如果只需要保障中国内地电信、联通和非移动线路用户的业务访问速度和稳定性,您可以单独购买DDoS高防和优选线路(无防护)。

  2. 参考域名类业务接入DDoS高防,将业务接入DDoS高防。
  3. 为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您设置源站保护。

    有关源站保护的详细操作,请参见设置源站保护

  4. 配置CC攻击防护策略。

    • 业务正常时

      网站业务接入DDoS高防后,建议您在业务运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。

    • 正在遭受CC攻击时

      通过查看DDoS高防防护日志,获取域名请求TOP URL、IP地址、访问来源IP、User-Agent等参数信息,根据实际情况配置频率控制自定义规则,并观察防护效果。

      如果实际防护效果不佳,建议您购买MDR服务,协助您进一步分析日志并制定防护策略。

  5. 本地检查测试配置准确性。

    配置完DDoS高防防护策略后,建议参照表2表3检查测试DDoS高防配置是否正确。

    有关本地验证的详细操作,请参见本地验证

    表2 业务检查项说明

    业务类型

    检查项说明

    域名类业务

    接入配置域名是否填写正确。

    域名是否备案。

    接入配置协议是否与实际协议一致。

    接入配置端口是否与实际提供的服务端口一致。

    源站填写的IP是否是真实服务器IP,而不是错误填写为其他IP。

    证书信息是否正确上传。

    证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。

    证书链是否完整。

    是否已了解DDoS高防实例的弹性防护计费方式。

    协议类型是否启用WebSocket、WebSockets协议。

    表3 业务可用性验证项

    验证说明

    验证项

    必检项

    测试业务是否能够正常访问。

    必检项

    测试业务登录会话保持功能是否正常。

    必检项

    (域名类业务)观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。

    建议项

    是否配置后端服务器获取真实访问源IP。

    建议项

    (域名类业务)是否配置源站保护,防止攻击者绕过DDoS高防直接攻击源站。

    必检项

    测试TCP业务的端口是否可以正常访问。

  6. 切换业务流量。

    本地检查验证通过后,建议采用测试的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。

    • 修改DNS解析记录后,需要10分钟左右生效。
    • 真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。

  7. 开启告警通知

    开启DDoS高防告警通知后,当出现以下情况时,您将接收到告警通知信息(接收消息方式由您设置),及时发现业务异常现象:

    • IP遭受DDoS攻击时
    • DDoS攻击峰值超过保底防护带宽而产生弹性计费时

      您将在次日上午收到告警通知信息。

接入后日常维护事项说明

业务接入DDoS高防后,建议您参照表4例行维护业务。

表4 日常维护事项

维护事项

说明

弹性防护后付费

如果需要启用DDoS高防的弹性防护能力,请务必先查看DDoS高防的计费方式,避免实际产生的弹性防护费用超出预算。有关DDoS高防详细的服务资费和费率标准,请参见产品价格详情

判断攻击类型

当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看DDoS高防防护日志,根据攻击流量信息判断遭受的攻击类型。

  • DDoS攻击类型:在实例防护报表中有攻击流量的波动,且已触发流量清洗,但在域名防护报表中不存在相关联的波动。
  • CC攻击类型: 在实例防护报表中有攻击流量的波动,已触发流量清洗,且在域名防护报表中有相关联的波动。

业务访问延时或丢包

针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况,如果用户访问网站时存在延时高、丢包等现象,主要访问用户来自非中国内地地域的情况,可能存在跨网络运营商导致的访问链路不稳定,建议您购买DDoS高防(国际版)实例并选择加速线路。

删除域名或端口转发配置

如果需要删除已防护的域名端口转发配置记录,请您确认业务是否已正式接入DDoS高防。

  • 如果尚未正式切换业务流量,直接删除域名或端口转发配置记录。
  • 如果已完成业务流量切换,删除域名或端口转发配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。
说明:
  • 删除转发配置前,请务必确认域名的DNS解析或业务访问已经切换至源站服务器。
  • 删除域名配置后,DDoS高防将无法再为您的业务提供专业级安全防护。

相关文档