配置连接类攻击防护
功能说明
EdgeOne 支持对连接型攻击进行防护,对连接行为异常的客户端自动封禁。在源 IP 最大异常连接数开启防护后,当边缘安全加速平台检测到同一个源 IP 短时间内频繁发起大量异常连接状态的报文时,会将该源 IP 纳入黑名单中进行封禁惩罚,封禁时间为15分钟,等封禁解除后可恢复访问。
说明:
该功能仅在四层代理开启独立 DDoS 防护时支持,默认平台防护以及七层站点独立 DDoS 防护均不支持配置;
适用场景
为了防住大量连接耗尽源站的 TCP 连接资源或者网络资源,您可以通过配置连接类攻击防护保护源站。
操作步骤
1. 登录边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护> DDoS 防护,进入 DDoS 防护详情页。
3. 在四层代理防护选项卡内,选择需要配置的四层代理防护实例,点击防护配置。
4. 在连接类攻击防护卡片中,单击设置,进入连接类攻击防护页面。
5. 在连接类攻击防护页面中,单击连接规则右侧的编辑,各连接规则说明及处置方式请参考相关参考。
6. 在配置规则对话框中,修改配置后,单击确定,即可完成下发规则。
相关参考
支持的连接规则
(单个源 IP)新建连接限制:通过限制单位时间内允许单个源 IP 发起的新建连接数量,避免攻击方通过大量空连接耗尽 TCP 连接资源。
(单个源 IP)并发连接限制:通过限制同一时间单个源 IP 开放状态的连接数量,避免攻击方通过大量并发连接耗尽 TCP 连接资源。
(单个源 IP)异常连接限制:通过限制同一时间单个源 IP 连接至 EdgeOne 的异常连接数量,避免有大量异常连接状态的高危客户端连接至源站,产生安全风险。异常连接可以自定义通过SYN报文占比、SYN报文数量、连接超时、异常空连接等不同维度规则组合判断。
全局新建连接限制:通过限制单位时间内允许通过 EdgeOne 对源站站点新建连接数量,避免攻击方通过大量空连接耗尽 TCP 连接资源。
全局并发连接限制:通过限制同一时间通过 EdgeOne 对源站站点开放状态的连接数量,避免攻击方通过大量并发连接耗尽 TCP 连接资源。
全局数据速率限制:通过限制同一时间通过 EdgeOne 转发至源站应用的数据速率,避免攻击方通过大量伪造请求消耗源站网络和计算资源。
全局包速率限制:通过限制同一时间通过 EdgeOne 转发至源站应用的包速率,避免攻击方通过大量伪造请求消耗源站网络和计算资源。
处置方式
限制新建连接:单个源 IP 规则下时,拒绝该 IP 新增的连接请求,全局策略下,拒绝所有新增的 TCP 连接请求。
断开连接并惩罚:断开该 IP 连接并封禁该 IP 15分钟。
丢弃超额数据:丢弃超出数据传输速率或者连接包速率的请求内容。