业务接入DDoS高防

紧急接入场景说明

如果您的业务在接入DDoS高防前已经遭受攻击或源站IP已被黑洞，建议您在业务接入DDoS高防时参照表1进行处理。

如果在接入DDoS高防前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认是否在客户端或App端中通过代码直接指向源站IP，在这种情况下，请先更新客户端或App端代码后再更换源站IP，避免影响业务正常访问。具体操作请参见更换源站ECS公网IP。

前提条件

• 已完成业务情况进行梳理和接入前准备工作。
• 域名类业务已接入WAF。

操作步骤

1. 购买DDoS高防实例。
   • 如果您的业务服务器部署在中国内地，请购买DDoS高防实例。
     

     • DDoS高防实例不支持接入未经ICP备案的域名。如果您需要使用DDoS高防防护网站业务，请确认网站域名已经完成ICP备案。
     • DDoS高防实例默认提供IPv4高防IP。如果您需要IPv6高防IP，请选择购买DDoS原生防护实例。
   • 如果您的业务服务器部署在中国内地以外地域，且业务主要用户来自中国内地，由于单独使用DDoS高防（国际版）不能保障中国内地用户的访问质量（存在约300毫秒的平均访问延时），建议您考虑以下方案：

     如果只需要保障中国内地电信、联通和非移动线路用户的业务访问速度和稳定性，您可以单独购买DDoS高防和优选线路（无防护）。

2. 参考域名类业务接入DDoS高防，将业务接入DDoS高防。
3. 为避免恶意攻击者绕过DDoS高防直接攻击源站服务器，建议您设置源站保护。

   有关源站保护的详细操作，请参见设置源站保护。

4. 配置CC攻击防护策略。
   • 业务正常时

     网站业务接入DDoS高防后，建议您在业务运行一段时间后（两、三天左右），通过分析业务应用日志数据（包括URL、单一源IP平均访问QPS等），评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略，避免遭受攻击后的被动响应。

   • 正在遭受CC攻击时

     通过查看DDoS高防防护日志，获取域名请求TOP URL、IP地址、访问来源IP、User-Agent等参数信息，根据实际情况配置频率控制自定义规则，并观察防护效果。

     如果实际防护效果不佳，建议您购买MDR服务，协助您进一步分析日志并制定防护策略。

5. 本地检查测试配置准确性。

   配置完DDoS高防防护策略后，建议参照表2和表3检查测试DDoS高防配置是否正确。

   有关本地验证的详细操作，请参见本地验证。

   表2 业务检查项说明

   业务类型	检查项说明
   域名类业务	接入配置域名是否填写正确。
   	域名是否备案。
   	接入配置协议是否与实际协议一致。
   	接入配置端口是否与实际提供的服务端口一致。
   	源站填写的IP是否是真实服务器IP，而不是错误填写为其他IP。
   	证书信息是否正确上传。
   	证书是否合法（例如，加密算法不合规、错误上传其他域名的证书等）。
   	证书链是否完整。
   	是否已了解DDoS高防实例的弹性防护计费方式。
   	协议类型是否启用WebSocket、WebSockets协议。

   表3 业务可用性验证项

   验证说明	验证项
   必检项	测试业务是否能够正常访问。
   必检项	测试业务登录会话保持功能是否正常。
   必检项	（域名类业务）观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。
   建议项	是否配置后端服务器获取真实访问源IP。
   建议项	（域名类业务）是否配置源站保护，防止攻击者绕过DDoS高防直接攻击源站。
   必检项	测试TCP业务的端口是否可以正常访问。

6. 切换业务流量。

   本地检查验证通过后，建议采用测试的方式逐个修改DNS解析记录，将网站业务流量切换至DDoS高防，避免批量操作导致业务异常。如果切换流量过程中出现异常，请快速恢复DNS解析记录。

   

   • 修改DNS解析记录后，需要10分钟左右生效。
   • 真实业务流量切换后，您需要再次根据上述业务可用性验证项进行测试，确保业务正常运行。

7. 开启告警通知。

   开启DDoS高防告警通知后，当出现以下情况时，您将接收到告警通知信息（接收消息方式由您设置），及时发现业务异常现象：

   • IP遭受DDoS攻击时
   • DDoS攻击峰值超过保底防护带宽而产生弹性计费时

     您将在次日上午收到告警通知信息。

接入后日常维护事项说明

业务接入DDoS高防后，建议您参照表4例行维护业务。