更新时间:2024-09-26 GMT+08:00
配置连接防护
连接防护功能目前还处于公测阶段,仅DDoS原生高级防护-全力防高级版的华北地区支持该功能,如果您需要此项功能请提交工单开通。
如果同一个源站IP短时间内频繁发起大量异常连接状态的报文时,您可以通过配置连接防护,将该源站IP纳入黑名单中进行封禁惩罚,等封禁结束后可恢复访问。
操作步骤
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的,选择 ,进入“Anti-DDoS流量清洗”界面。
- 在左侧导航栏选择“防护策略”页面。 ,进入DDoS原生高级防护
- 在防护策略列表的左上方,单击“创建策略”。
- 在弹出的“创建策略”对话框中,设置“策略名称”并选择所属实例后,单击“确定”。
图1 创建策略
- 在目标防护策略所在行的“操作”列中,单击“配置策略”。
- 在“连接防护”配置框中,单击“设置”。
图2 连接防护配置框
- 开启“TCP连接耗尽攻击防御”,在弹出的对话框中,设置连接防护参数。
图3 连接防护设置
表1 连接防护设置参数说明 参数
说明
目的IP地址并发连接数检查
当目的IP地址的TCP并发连接数大于“连接数阈值”时,启动针对TCP连接耗尽攻击的防御。防御启动后,开始对源IP地址进行检查。设置范围:1-80000000。
目的IP地址新建连接速率检查
当目的IP地址每秒新增加的TCP连接数大于“连接速率阈值”时,启动针对TCP连接耗尽攻击的防御。防御启动后,开始对源IP地址进行检查。设置范围:1-10000000。
源IP地址新建连接速率检查
源IP地址新建连接速率检查:当针对TCP连接耗尽攻击的防御启动后,如果某个源IP地址在“检查周期”内发起的TCP连接数大于“连接数阈值”,则将该源IP地址作为攻击源上报ATIC管理中心。设置范围范围:连接数,1-80000000;时间周期,1-60(s)。
源IP地址连接数检查
当针对TCP连接耗尽攻击的防御启动后,如果某个源IP地址的TCP并发连接数大于“连接数阈值”值,则将该源IP地址作为攻击源上报ATIC管理中心。设置范围:1-80000000。
- 单击“确定”。
父主题: 添加防护策略