更新时间:2022-02-22 GMT+08:00

配置Anti-DDoS防护策略

操作场景

开启Anti-DDoS防护后,用户在使用过程中可以根据实际情况调整Anti-DDoS防护策略。

前提条件

已获取管理控制台的登录帐号与密码。

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击,选择安全 > Anti-DDoS流量清洗,进入Anti-DDoS服务管理界面。
  4. 选择“公网IP”页签,在待配置Anti-DDoS防护策略的公网IP地址所在行,单击“防护设置”

    图1 防护设置

  5. “防护设置”对话框中,修改相应的参数,如图2所示,参数说明如表1所示。

    图2 防护设置
    表1 参数说明

    参数

    说明

    防护设置

    • 默认防护:此模式下,“流量清洗阈值”默认为“120Mbps”,即当实际业务的UDP(User Datagram Protocol)流量大于120Mbps或者TCP(Transmission Control Protocol)流量大于35000pps时,将触发流量清洗,Anti-DDoS将拦截攻击流量。
    • 手动设置:此模式下,可按照实际业务流量设置“流量清洗阈值”和开启“CC防护”
    说明:
    • Mbps=Mbit/s即兆比特每秒(1,000,000bit/s),Million bits per second的缩写,是一种传输速率单位,指每秒传输的位(比特)数量。
    • PPS(Packets Per Second,简称PPS),是常用的网络吞吐率的单位,即每秒发送多少个分组数据包,网络的性能通常用吞吐率(throughput)这个指标来衡量。

    流量清洗阈值

    Anti-DDoS检测到IP的入流量超过该阈值时,触发流量清洗。

    • “防护设置”“默认防护”时,“流量清洗阈值”默认为“120Mbps”
    • “防护设置”“手动设置”时,“流量清洗阈值”可按照实际业务流量进行设置,建议设置为与所购买带宽最接近的数值,但不超过购买带宽。
    说明:

    当实际业务流量触发流量清洗阈值时,Anti-DDoS仅拦截攻击流量;当实际业务流量未触发流量清洗阈值时,无论是否为攻击流量,都不会进行拦截。

    请按照实际业务访问流量选择参数。建议选择与所购买带宽最接近的数值,但不超过购买带宽。

    CC防护

    • 关闭:关闭CC防护。
    • 开启:开启CC防护。
      说明:

      有Web业务且支持完整HTTP协议栈的客户端才能使用CC防护。因为CC防护采用“重定向”或“重定向+验证码”模式。如果客户端不支持,建议关闭CC防护。

    HTTP请求速率

    仅当“CC防护”“开启”时,需要设置此参数。单位为“qps”,即每秒查询率(Query Per Second),是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准,在因特网上,作为域名系统服务器的机器的性能经常用每秒查询率来衡量。

    该参数用于防御对网站的大量恶意请求,当网站HTTP请求速率达到所设参数时触发CC防护。一般情况下,如果防护弹性IP地址,建议该参数值不大于5000,如果防护弹性负载均衡,则可以选择较大的值。

    建议设置为所部署业务平均每秒能处理的HTTP请求个数。Anti-DDoS检测到的总请求数量超过设置的“HTTP请求速率”时,会自动开启流量清洗。参数值过大会导致CC防护不能及时触发。

    • 实际HTTP请求速率低于设置的数值时,用户所部署的业务能够处理所有的HTTP请求,不需要Anti-DDoS的参与。
    • 实际HTTP请求速率等于或高于设置的数值时,Anti-DDoS会触发CC防护,对每个请求进行分析检查,会影响正常请求的响应速度。

  6. 单击“确定”,保存配置。