DDOS防护 AAD-准备阶段:网站业务梳理
下载DDOS防护 AAD用户手册完整版
网站业务梳理
建议您参照表1对业务情况进行全面梳理,了解当前业务状况和具体数据,为后续使用DDoS高防的防护功能提供指导依据。
梳理项 |
说明 |
|---|---|
网站和业务信息 |
|
域名是否完成ICP备案 |
查询域名是否备案,域名如果没有备案无法接入DDoS高防。 |
网站/应用业务每天的流量峰值情况,包括Mbps、QPS |
判断风险时间点,作为选择DDoS高防实例的业务带宽和业务QPS规格的依据。 |
业务的主要用户群体(例如,访问用户的主要来源地域) |
方便业务接入后配置DDoS高防的海外/UDP流量封禁策略。 |
源站是否部署在非中国内地地域 |
源站部署在非中国内地地域时,建议购买DDoS高防(国际版)服务。 |
源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等) |
判断源站是否存在访问控制策略,避免源站误拦截DDoS高防回源IP转发的流量。如果有,需要在源站上设置放行DDoS高防的回源IP。有关放行DDoS高防回源IP的详细操作,请参见放行高防回源IP段。 |
业务是否需要支持IPv6协议 |
如果您的业务需要支持IPv6协议,建议您使用DDoS原生高级防护。有关DDoS原生高级防护的详细介绍,请参见什么是DDoS原生高级防护?。 |
业务使用的协议类型 |
用于后续业务接入DDoS高防时配置网站信息,选择对应的协议。 |
业务端口 |
判断源站业务端口是否在DDoS高防的支持端口范围内。有关DDoS高防支持的业务端口说明,请参加DDoS高防支持哪些业务端口?。 |
请求头部(HTTP Header)是否带有自定义字段且服务端拥有相应的校验机制 |
判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。如果有,请提交工单联系技术支持人员协助分析。 |
业务是否有获取并校验真实源IP机制 |
接入DDoS高防后,真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置,避免影响业务。 如果需要请提前部署TOA模块或从x-forwarded-for获取真实源IP。 |
(针对HTTPS业务)服务端是否使用双向认证 |
DDoS高防暂不支持双向认证,需要变更认证方式。 |
(针对HTTPS业务)是否存在会话保持机制 |
如果您的业务有上传、登录等长会话需求,建议您使用基于七层的Cookie会话保持功能。 |
业务是否存在空连接 |
例如,服务器主动发送数据包防止会话中断,这类情况下接入DDoS高防后可能会对正常业务造成影响。 |
业务是否使用了CDN |
如果业务使用了CDN,请确保业务支持以下两种方案:
|
业务是否要求使用专线回源 |
DDoS高防不支持专线回源。 |
业务使用的域名个数及转发规则个数 |
有关DDoS高防规格的详细介绍,请参见功能规格。 |
业务及攻击情况 |
|
用户遭受的历史TOP攻击类型和流量大小 |
|
业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) |
便于在后续攻防过程中分析攻击特征。 |
业务流量(入方向) |
帮助后续判断是否包含恶意流量。例如,日均访问流量为100 Mbps,则超过100 Mpbs时可能遭受攻击。 |
业务流量(出方向) |
帮助后续判断是否遭受攻击,并且作为是否需要扩展业务带宽的参考依据。 |
单用户、单IP的入方向流量范围和连接情况 |
帮助后续判断是否可针对单个IP制定限速策略。 |
业务是否遭受过大流量攻击及攻击类型 |
根据历史遭受的攻击类型,设置针对性的DDoS防护策略。 |
业务遭受过最大的攻击流量峰值 |
根据攻击流量峰值判断DDoS高防功能规格的选择。 |
业务是否遭受过CC攻击(HTTP Flood) |
通过分析历史攻击特征,配置预防性策略。 |
业务遭受过最大的CC攻击峰值QPS |
通过分析历史攻击特征,配置预防性策略。 |
用户群体属性 |
例如,个人用户、网吧用户、通过代理访问的用户。用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。 |
当前业务是否正在受DDoS攻击 |
如果业务正在遭受DDoS攻击,接入DDoS高防需要更换源站IP。 |
