图19 高防国际运营中心
4 审计 防护的最佳实践
接下来,我们将以DDoS高防(新BGP)的防护例子为大家展示DDoS防护结合日志审计的最佳实践。
4.1 实践准备
首先,在个人日志审计中心APP开启DDoS高防(新BGP)采集授权,然后在DDoS防护页面,将之前准备好的域名***.com接入,配置好关联高防IP地址,以及具体的防护设置。
4.1.1 添加域名接入
图20 DDoS高防配置域名接入
4.1.2 设定防护规则
在这里我们通过频率控制的手段,通过编辑具体的防护规则,对该域名下某一具体URL进行防护。频率控制防护开启后自动生效,默认使用正常防护模式,帮助网站防御一般的CC攻击。这里我们假定在检测时长5秒内,允许单个源IP访问被防护地址/test URL的次数为2次,超过次数将封禁1分钟。
图21 通过频率控制防护规则
4.2 实践对比
4.2.1 访问对比
对于该域名下具体URL:/test和/welcome ,对/test开启了防护规则设置,对/welcome没有任何限制。可以看到虽然/welcome在服务器中并不存在,但是/test页面则直接被阻隔在网站之外。
图22 发起访问请求
4.2.2 日志对照
在日志审计DDoS里查看具体的DDoS日志,可以看到访问/welcome,cc_block字段为0,也就是False,因此可视为正常流量,而访问/test,cc_block 字段为1,即True,也就是说明DDoS防护将其视作CC攻击。
图23 查看防护日志
4.2.3 仪表盘观测
我们将通过审计下面DDoS高防(新BGP)运营中心的仪表盘对刚才的事件进行更直观的复盘,
首先,我们将观测时间设为较短的相对时间5分钟,此时没有用户请求,即无正常流量也无攻击流量。
图24 原始运营中心
然后我们访问该接入域名下的/welcome页面,此时请求数为1,可以观测到客户网站出现了有效流量。
图25 有效流量示意
接下来访问/test页面,可以看到该访问被判定为攻击流量,并没有流入客户网站,而是被拿来丢弃与分析,此时的攻击者概况表格中,出现了攻击者具体IP源以及攻击次数等信息。
图26 攻击流量示意
