设置DDoS策略
更新时间:2025-08-11 15:46:10
分布式拒绝服务(DDoS)攻击是一种恶意行为,攻击者通过控制僵尸网络/代理设备等,向目标网站或服务器发送大量请求或数据,导致正常用户访问网站加载缓慢,甚至完全无法访问。CDNetworks的DDoS防护依托CDN资源优势,结合大数据分析,自主研发防护算法,实时检测和清洗各类DDoS攻击流量,确保网站在遭遇大规模DDoS攻击时仍能稳定在线。
开启DDoS防护后,CDNetworks会自动检测并缓解针对您网站的DDoS攻击。您还可以根据需要调整和优化DDoS防护策略。
进入DDoS防护页面页面:
- 登录CDNetworks控制台,在已开通产品下,找到正在使用的安全产品并点击进入。
- 前往 防护配置 > 安全策略配置。
- 找到您要配置安全策略的域名,点击
![[ Product Maintenance ] Cloud Security Product Maintenance Announcement](https://documents.cdnetworks.com/wcs/draft/help_doc/en_us/30519/30532/1704869192417_image.png)
。 - 进入 DDoS防护 页面。
1. 设置网络层DDoS 保护
CDNetworks 默认自动检测并缓解 OSI 模型 3/4 层 DDoS 攻击,包括 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、各种反射攻击(如 NTP 反射、Memcache 反射、SSDP 反射)等。为了保护平台基础设施和所有客户的可用性,此保护默认开启,且无法关闭。
2. 设置应用层 DDoS保护
应用层DDoS防护服务基于智能防护引擎,融合内置规则防护与AI智能防护双重机制,通过自动化攻击检测与动态防护策略调整,保障业务在应用层(如HTTP/HTTPS)遭受DDoS攻击时的可用性与稳定性。
2.1 整体防护机制说明
2.1.1 双重机制协同防护
内置规则防护
CDNetworks构建的内置防护规则集,基于海量攻击特征库与CDNetworks安全专家团队攻防对抗经验沉淀,预置针对异常请求参数、协议规范违规、可疑高频请求等常见应用层攻击的规则。规则集部署于CDNetworks全球分布式边缘节点,以支持秒级精准攻击匹配与拦截。
AI智能防护
-
自动化攻击监测:基于CDNetworks安全大数据平台能力,通过机器学习模型持续分析网站的业务请求基线,持续监控域名流量特征、请求分布、源站响应状态等指标,实时判定攻击类型、攻击强度以及源站状态。
-
自适应防护策略:根据所选防护等级以及检测的攻击状态,自动切换防护模式:
当域名遭受CC攻击时,优先自适应启用内置规则进行拦截。
当内置规则未完全拦截攻击,源站可用性仍受到威胁时,系统将结合自主研发的算法,自动识别异常攻击请求并生成防护规则,实现动态封禁、人机验证、请求限速等多维度处置,有效缓解新型应用层DDoS攻击以保护源站。
2.1.2 整体防护逻辑
域名接入,学习开始
新域名接入时,引擎将根据所选的防护等级自动下发预设阈值,确保业务在初始阶段即可获得及时防护;同时,引擎将通过2-6小时的域名流量学习,生成业务专属防护阈值与AI防护规则,并每小时动态更新,实现攻击精准定位与自适应防护。
第一道防线 - 边缘防护开启,快速拦截
当域名遭受少量CC攻击时,部署于边缘节点的 “攻击时启用” 内置规则将快速生效,实现攻击秒级拦截与处置。内置规则模式详情可参考文档下方规则模式表格。
第二道防线 - 全域名防护开启,大量清洗
当系统检测到攻击流量进一步持续增大,将以全域名维度下发 “攻击时启用” 内置规则,实现全域攻击流量清洗。
第三道防线 - AI智能防护规则生成,保护源站
若系统检测到攻击仍有漏过,且影响到源站可用性时,AI智能防护将进一部增强防护,将根据已学习到的具体攻击特征,定位攻击并下发对应的 AI 防护规则,当前可支持的几类AI规则如下:
- 频率限制规则,用于防护请求高频攻击
- 空请求头规则,用于防护请求头异常为空的攻击
- 特定 UA 规则,用于防护 UA 异常的攻击
- JA4 规则,用于防护 JA4 异常聚集的攻击
攻击结束
当系统检测到域名流量持续15分钟不满足判定攻击的条件,则判断该域名所受攻击结束,此时将停用 “攻击时启用” 规则,并删除所有已下发的 AI 规则。
2.2 选择防护等级
开启应用层DDoS防护后,需要您根据不同业务场景的安全防护需要,选择适当的安全防护等级,每个防护等级都会影响:攻击检测灵敏度和AI规则生成阈值。防护等级的选择参考下表:
| 等级 | 防护效果 | 适合场景 | 攻击检测灵敏度 | AI规则生成阈值 |
|---|---|---|---|---|
| 宽松 | 默认拦截已知的特定恶意攻击,AI引擎仅在监测到攻击导致网站可用性明显下降时启动自适应防护,对正常请求误拦截概率极低。 | 适用于请求量大,且处理能力强的网站,或适配活动等特殊业务场景。 | 低(必要条件:系统检测到源站可用性大幅下降) | 中 |
| 适中(推荐) | 可有效防护常见恶意攻击,适配绝大多数业务场景。 |
适用于请求量平稳,且有正常业务处理能力的网站。 | 中 | 中 |
| 严格 | 对恶意攻击启用严格的防护策略,此模式可能导致部分误拦截。 | 适用于请求量小,自身处理能力较弱的网站,或适配有严格清洗需求的业务场景。 | 高 | 高 |
注意:由于 AI 引擎根据域名的请求量、可用性等指标自动判断域名是否受到 CC 攻击,而活动场景往往同时伴随高请求量和可用性降低的情况,因此有较高误报可能,建议在活动前人工调整策略以避免误报。
2.3 配置内置规则
通常情况下,建议您保持内置规则防护默认开启,相关处理动作和规则模式保持原状即可。
2.3.1 调整处理动作或规则模式
若业务预期出现合法流量激增的情况(如大促活动、新品发布),您可以通过调整内置规则的配置项来避免误拦截的情况。配置项有以下两种:
- 处理动作 - 当请求匹配此条内置规则时,系统对此自动执行的防护动作,具体描述如下:
| 处理动作 | 描述 |
|---|---|
| 拦截 | 拦截对应请求并响应403 |
| 监控 | 仅记录日志,不对请求进行处理 |
| DDoS托管校验 | 根据请求特征动态选择适当的方式进行质询,包括Cookie验证和JavaScript验证 |
| 拒绝链接 | 释放与客户端已建立的TCP连接,并拒绝新的连接 |
- 规则模式 - 定义每条内置规则的生效场景,智能防护引擎可根据检测到的应用层DDoS攻击状态自适应切换规则模式,具体描述如下
| 规则模式 | 描述 |
|---|---|
| 默认启用 | 不论是否检测到攻击,该模式的规则始终生效 |
| 攻击时启用 | 当智能防护引擎检测到域名遭受攻击时,将启用该模式的规则 |
| 基本关闭 | 仅当智能防护引擎检测到域名遭受攻击,且攻击规模已经影响节点基础设施性能时,会额外生效该模式的规则 |
| 永久关闭 | 不论是否检测到攻击,该模式的规则始终不生效 |
2.3.2 添加应用程序/API 例外
带有“ DDoS 托管挑战”操作的托管规则会根据请求特征进行 Cookie 挑战或 JavaScript 挑战,仅适用于 Web/H5 网页类型网站。如果您的网站是原生 App/混合 App/回调 API 或其他业务,需要针对 App/API 的请求特征进行例外处理,避免造成大量误报。
| 类型 | 描述 | 需要添加例外吗? | 笔记 |
|---|---|---|---|
| 原生应用 | 使用Android和iOS平台官方的开发语言、开发库和工具进行开发。例如Android的Java语言,iOS的object-c语言。 | 一般情况下不需要例外。 | 操作为“DDoS Managed Challenge”的托管规则只对浏览器的User-Agent(Mozilla或Opera)有效,如果你是原生应用,使用浏览器的User-Agent,则需要添加例外。 |
| 混合应用 | 它采用了原生APP的开发技术,同时也应用了HTML5的开发技术,是一款原生与HTML5技术的混合应用。 | 需要例外。 | 需要根据您的混合APP的特点来做例外处理,当原生页面请求和HTML5页面请求的特点明显不同时,建议只针对原生页面请求的特点做例外处理,例如User-Agent=AppName/1.0.0(Android; 10; Pixel 3)okhttp/3.8.1。 |
| 回调API | 当某一事件发生时,系统自动调用已注册的回调函数来处理相关数据。如支付回调API、数据同步回调API等。 | 需要例外。 | 应根据回调 API 的特性来制定例外情况,例如 URI=/api/callback。 |
| 其他程序API | 其他不支持“DDoS Managed Challenge”的程序API。 | 需要例外。 | 应该根据你的程序API的特点来做出例外,例如URI=/api/other。 |
具体配置方法参考:设置App/API例外
配置的 App/API 例外仅适用于具有“DDoS 托管挑战”操作的托管规则。
2.4 配置AI智能防护
当AI智能防护开启后,引擎将自动根据所选防护等级和攻击特征下发对应的AI防护规则进行防护。通常情况下,建议您默认开启AI智能防护,并保持模式为防护,以保证最佳的防护效果。
2.4.1 调整防护模式
若您希望预先观察分析流量特征;或需要在遭受攻击时降低误拦截风险,可基于业务实际需求调整相关智能防护模式。模式的选择将决定引擎下发规则的处理动作,其对照关系和具体描述见下表:
| 模式 | 对应处理动作 | 描述 |
|---|---|---|
| 防护(默认) | 拦截 | 智能防护规则将直接拦截命中规则的请求 |
| 防护(托管) | DDoS托管校验 | 系统基于网页客户端请求特征,自适应触发Cookie或JavaScript校验机制,从而有效降低该场景的误拦截率 |
| 观察 | 监控 | 仅将命中规则的请求记录在攻击日志中 |
2.4.2 查看智能防护规则
DDoS自适应防护引擎(DAPE)根据攻击的威胁程度判断何时生成或删除防护规则,自动处理攻击,一般情况下无需您特别关注。
如果您希望查看自适应保护规则,通常有两种方式:
规则命名方式
通过查看智能防护规则的名称,可在运维场景下快速定位攻击类型。规则的命名方式为:AI_<规则类别>_xxxxx,如:AI_限制高频目录请求_xxxxx,则可知当前生效的规则类型为频率限制类规则。
查看命中智能防护规则的请求
-
攻击过程中,查看当前正在生效的规则
如果当前攻击正在发生,且已触发AI智能防护,可直接在安全策略>DDoS防护页面,应用层DDoS防护>AI智能防护 列表处查看当前生成的防护规则。 -
通过攻击日志,查看命中智能防护规则的请求详情
若您希望分析智能防护规则命中的请求日志,验证该规则是否精准匹配业务流量特征,确保仅真实攻击行为被拦截:
- 前往安全运营>攻击日志页面
- 通过过滤器,选择 DDoS防护-策略名称 等于 AI智能防护
- 展开命中规则详情,查看具体规则信息、请求信息,和客户端信息
回溯智能防护规则部署情况
由于攻击者往往会通过不断变化攻击特征绕过防护,同时为降低无攻击时的误拦风险,因此智能防护规则仅在攻击时被生成,攻击停止15分钟后将被自动删除。如果您分析到某条防护规则对多次攻击都能有效防护,可根据规则信息说明,将其手动配置到自定义规则或频率限制中,对网站进行持续防护。您可通过以下方式查看规则历史部署记录:
- 前往配置变更记录页面
- 通过过滤器,选择配置 安全策略-DDoS防护,变更类型-新增
- 在列表中查看操作人为 system 的条例,点击变更详情,将展示攻击时期下发的AI智能防护规则