配置DDoS防护策略
更新时间:2024-01-08 11:26:01
分布式拒绝服务(DDoS)攻击是攻击者通过控制僵尸网络/代理设备等,向目标网站或服务器发送大量的请求或数据,导致正常用户访问网站时加载缓慢,甚至完全无法访问的一种恶意行为。网宿DDoS防护依托CDN资源优势,结合大数据分析,自主研发防护算法,实时检测并清洗各类DDoS攻击,保障网站在遭遇大规模DDoS攻击时仍然能够稳定在线。
当您开启DDoS防护后,云安全平台就会为您的网站进行自动检测并缓解DDoS攻击。您也可以按需调整和优化DDoS防护策略。
1. 配置网络层DDoS防护
全站防护平台默认自动检测和缓解OSI模型3/4层的DDoS攻击,包括SYN Flood、ACK Flood、ICMP Flood、UDP Flood、各类反射攻击(如NTP反射、Memcache反射、SSDP反射)等。为保护平台基础设施及所有客户的可用性,此防护默认开启,不能关闭。
2. 配置应用层DDoS防护
应用层DDoS防护包括内置规则防护和AI智能防护两个防护模块,统一由网宿自主研发的智能防护引擎(DAPE)自动监测网站是否受到应用层DDoS攻击,并根据攻击烈度,源站可用性等指标自适应生效内置规则或动态生成智能防护规则。
应用层DDoS防护流程:
- 应用层DDoS防护开启的情况下,当您的网站流量接入全站防护平台,智能防护引擎将立即开始基线学习,为保证基线学习准确性,一般需要1~2个小时完成。
- 智能防护引擎基于业务基线实时监测网站是否受到应用层DDoS攻击,当监测到攻击时,在网宿分布式边缘节点会自适应生效内置防护规则以拦截大部分攻击流量,在此可以应用最具成本效益的缓解。
- 当内置规则未完全拦截攻击,源站可用性仍受到威胁时,将自动生成精准的智能防护规则以保护源站。
进入DDoS防护页面:
- 登录网宿控制台,在已开通产品下,找到正在使用的安全产品并点击进入。
- 前往防护配置>安全策略页面。
- 定位到要配置安全策略的域名,点击
,进入安全策略编辑页面。 - 选择DDoS防护页签,如果应用层DDoS防护已关闭,请先开启。
2.1 选择合适的防护模式
应用层DDoS防护提供了两种防护模式:“智能托管”和“我受到攻击!”。下面表格介绍了两种防护模式的防护效果和应用场景,您可以根据实际应用场景选择不同的防护模式,如果您不确定,建议先保持默认的“智能托管”防护模式。
| 防护模式 | 防护效果 | 应用场景 | 内置规则生效逻辑 | AI智能防护规则生成 |
|---|---|---|---|---|
| 智能托管(推荐) | 智能防护引擎自动监测网站流量异常,根据攻击烈度自适应生效内置规则,并动态生成AI智能防护规则。 | 建议默认使用此模式,误拦风险极低。 | 平时仅【默认启用】的内置规则生效,当智能防护引擎监测到网站的流量异常时会自动生效【攻击时启用】的内置规则。如果攻击规模影响清洗节点基础设施时,还会自动生效【基本关闭】的内置规则以保护清洗节点基础设施。关于安全级别,了解更多。 | 智能防护引擎自动学习网站的业务请求基线,并在监测到网站受攻击且攻击可能影响源站性能时,自动生成防护规则以保护网站业务。 |
| 我受到攻击! | 与智能托管的差异:此模式将默认生效"攻击时启用"的内置规则,生成的AI智能防护规则更严格。 | 建议易受攻击且源站性能较差的网站使用此模式。可能会有部分误拦截。 | 【默认启用】和【攻击时启用】的内置规则默认生效,当智能防护引擎监测到网站的流量异常且攻击规模影响清洗节点基础设施时,还会自动生效【基本关闭】的内置规则以保护清洗节点基础设施。关于安全级别,了解更多。 | 智能防护引擎自动学习域名的业务请求基线,并在监测到网站受攻击且攻击可能影响源站性能时,自动生成更严格的防护规则以保护网站业务。 |
2.2 配置内置规则防护
网宿安全专家团队通过持续跟踪最新威胁和总结平台攻击事件处置经验沉淀的一套通用内置防护规则集来缓解应用层DDoS攻击,并且会不定期更新,以帮助您应对最新的攻击威胁。为了保证最佳防护效果,建议您保持内置规则防护功能默认开启。
2.2.1. 调整处理动作或安全级别
内置规则由网宿统一管理和推送,您可以调整内置规则的处理动作和安全级别,通常情况下,建议您保持内置规则默认的处理动作和安全级别即可。
当内置规则发生误拦截时,您可以通过调低规则安全级别解决,如:从攻击时启用改为基本关闭。您也可以根据实际防护需要自行调整。
关于处理动作和安全级别,了解更多。
2.2.2. 添加App/API例外
处理动作为“DDoS托管校验”的内置规则会根据请求特征进行Cookie验证或JavaScript验证,仅适用于Web/H5网页类的网站。如果您的网站是原生App/混合App/回调API等业务,需要将App/API的请求特征进行例外处理,避免造成大量误拦截。
| 业务类别 | 说明 | 您是否需要添加例外 | 备注 |
|---|---|---|---|
| 原生App | 利用Android、iOS平台官方的开发语言、开发类库、工具进行开发。比如安卓的java语言,iOS的object-c 语言。 | 一般不需要例外。 | 处理动作为人机校验的内置规则仅针对浏览器的User-Agent(Mozilla或Opera)生效。如果您是原生App而且使用的浏览器的User-Agent则需要添加例外。 |
| 混合App | 即利用了原生App的开发技术还应用了HTML5开发技术,是原生和HTML5技术的混合应用。 | 需要例外。 | 根据您混合APP的特征进行例外。当原生页面请求和HTML5页面请求有明显不同的特征时,建议只对原生页面请求特征进行例外,例如User-Agent=AppName/1.0.0 (Android; 10; Pixel 3) okhttp/3.8.1。 |
| 回调API | 当发生某个事件时,系统会自动调用注册的回调函数,将相关的数据传递给回调函数进行处理。如支付回调API、数据同步回调API等。 | 需要例外。 | 根据您回调API的特征进行例外,例如URI=/api/callback。 |
| 其他程序API | 其他不支持人机校验的程序API。 | 需要例外。 | 根据您程序API的特征进行例外,例如URI=/api/other。 |
具体配置方法参照:配置App/API例外。
配置的App/API例外仅针对处理动作为“DDoS托管校验”的内置规则生效。
2.3 配置AI智能防护
AI智能防护是基于网宿的大数据能力,通过持续学习网站的业务请求基线,结合网宿自主研发的算法识别异常攻击请求,并在检测到攻击可能威胁到源站业务的情况下,智能防护引擎(DAPE)会自动下发智能防护规则以缓解应用层DDoS攻击。
智能防护规则的生成和失效过程:
- 智能防护引擎基于业务基线实时监测网站是否受到应用层DDoS攻击,当内置规则未完全拦截攻击,源站可用性仍受到威胁时,将自动生成精准的智能防护规则。
- 如果您已经设置网站的防护模式为“我受到攻击!”,则智能防护引擎会生成更严格的智能防护规则,以最大程序地缓解应用层DDoS攻击。
- 攻击停止15分钟后,智能防护规则将自动失效并清除。
2.3.1. 调整规则动作
AI智能防护的规则动作是针对生成的全部AI防护规则设置的处理动作,有“拦截”和“监控”两种。通常情况下建议您保持默认规则动作为拦截,以保证最佳的防护效果。您也可以先配置为监控,攻击时仍会正常生成AI防护规则,但是仅记录攻击日志,不会拦截请求。
2.3.2. 查看智能防护规则
智能防护引擎(DAPE)根据攻击威胁程度判断何时生成或删除防护规则,自动处置攻击,通常您无需特别关注。
如果您希望查看智能防护规则,通常有以下两种方式:
1. 攻击过程中查看当前正在生效的规则
如果您感知到攻击正在发生,可直接在安全策略>DDoS防护页面查看当前是否有生成智能防护规则,规则名称以L7DDoS_AI开头。
2. 攻击停止后,通过攻击日志回溯
如果您在攻击结束后希望回溯攻击事件和防护情况,可前往安全运营>攻击日志页面查询攻击时间段内是否有智能防护规则的拦截日志,并可在日志展开的详细信息中查看具体规则信息。
由于攻击者往往会通过不断变化攻击特征绕过防护,同时为降低无攻击时的误拦风险,因此智能防护规则被设计为仅在攻击时生成,攻击停止15分钟后删除。如果您分析到某条历史防护规则对多次攻击都能有效防护,同时对正常访问误拦风险极低,也可以将规则手动配置到自定义规则或频率限制中,持续对网站进行防护。