什么是源站 DDoS 防护?
内容交付网络解决方案提供基本且可靠的 L3 和 L4 保护,然而,即使是最大的 CDN 网络也不能完全保护你的源站免于攻击。
源站 DDoS 防护增加了一层随时开启的 L7 保护,以确保你的网路 服务免受恶意爬虫、机器人及其他攻击。
源站DDoS防护
产品功能特性
DDoS高防
DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及IDC的互联网主机
- DDoS/CC攻击防护
提供高带宽,精准可靠的攻击清洗能力,有效防护各类DDoS攻击、应用层CC攻击
- 弹性带宽防护
在保底带宽基础上提供弹性带宽防护,用户可灵活选择最高T级防护带宽
- 全业务支持
支持TCP/UDP/HTTP/Websocket(s)等协议转发,支持流量负载均衡,业务流量均匀分发,支持源IP地理位置过滤
- 攻击防护报表展示
提供DDoS/CC攻击防御统计信息,提供报表展示实时和历史攻击情况,提供安全事件展示
DDoS原生防护
DDoS原生防护对华为云上的IP生效,无需更换IP地址,通过简单的配置,DDoS原生防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力,确保云服务上的业务安全、可靠
- 透明部署
通过原生BGP网络防护DDoS攻击,无需改变业务架构,不增加网络延迟,一键添加防护
- 账号级多IP共享防护
支持同账号下云资源共享DDoS防护能力,帮助企业快速提升账号整体网络安全防护等级
- 联动高防服务自动调度
支持DDoS原生防护IP联动高防服务资源,自动切换攻击流量
- IPv6支持
帮助企业快速搭建IPv6 DDoS安全防护能力
安全流量调度
默认将所有华为云的DDoS原生防护能力提到到更高的防护清洗阈值,当DDoS攻击流量达到一定阈值时,支持DDoS原生防护IP联动高防服务资源,自动切换攻击流量到高防IP服务上,有效缓解云原生防护压力
- 快速检测响应
先进的逐包检测机制,各类攻击威胁秒级响应;强大的清洗设备性能,极低的清洗时延
- 分钟级切换
通过CNAME域名接入,分钟级切换到对应的高防节点上
- 支持多种资源防护切换
云原生防护到高防资源联动支持多种资源防护,包含ECS,ELB,EIP,WAF等网络资源
- 支持阶梯调度
当有攻击情况下,优先在云原生防护资源切换进行全力防护,当超过云原生最大防护能力后,通过阶梯调度,进一步调度到高防节点。
DDoS缓解助手
对于有DDoS攻击风险的客户,给出专家建议,帮助客户进行DDoS服务的规格推荐、配置推荐以及防御策略推荐
- DDOS攻击缓解标准助手
DDoS防护服务配置开通 客户根据“DDoS防护服务推荐”方案完成服务选购后,帮助客户完成DDoS防护方案的配置。确保DDoS防护方案有效执行。
根据客户的业务场景和风险评估,给出DDoS防护的产品套餐方案,例如如何选择华为云DDoS高防包,防护IP个数、保底带宽选择等
- DDOS攻击缓解专业助手
针对客户业务系统,以及风险等级(如历史攻击情况、勒索细节等信息)给出专项配置调优。所需增加的DDoS防护服务费用不在防DDoS缓解助手专业版内
- DDoS攻击缓解值守助手
当客户或华为云监控到DDoS攻击发生时,安排DDoS防护专家线上值守,通过welink、微信组建war room,提供专项保障。注意单DDoS攻击缓解助手仅提供一次24小时的值守服务,如攻击时长超过24小时,需要额外付费。
源站 IP 暴露的解决方法
由于部分攻击者会记录源站使用过的 IP,因此在使用 BGP 高防包后存在绕过高防直接攻击源站 IP 的情况。如遇到以上情况,建议用户更换源站 IP。 在更换源站 IP 前可参考本文档,对暴露源站 IP 的可能因素进行检查,避免新更换的源站 IP 继续暴露。
检查方法
DNS 解析记录检查
检查该遭到攻击的旧源站 IP 上所有 DNS 解析记录,如子域名的解析记录、邮件服务器 MX(Mail Exchanger)记录以及 NS(Name Server)记录等,确保全部配置到高防 IP,避免部分解析记录直接解析成新更换的源站 IP。
信息泄露及命令执行类漏洞检查
检查网站或业务系统是否存在信息泄露的漏洞,如 phpinfo() 泄露、GitHub 信息泄露等。
检查网站或业务系统是否存在命令执行类漏洞。
木马或后门检查
检查源站服务器是否存在木马或后门等隐患。
其他建议
建议不使用与旧源站 IP 相同或相近网段的 IP 作为新的源站 IP,避免攻击者对 C 段或相近网段进行猜测和扫描。
建议提前准备备份链路和备份 IP。
建议设置访问来源范围,避免攻击者的恶意扫描。
源站DDoS防护
