最佳实践
最后更新于
对于对 DDoS 攻击敏感的工作负载,请选择已部署 DDoS 防护的地区。BGP 转发和清洗流水线提供的防御能力远强于单纯的基于阈值的拦截。当前可用地区列表请参阅地区可用性。
默认阈值针对通用工作负载进行了校准——并非针对您的工作负载进行调优。如果您的应用程序日常运行接近这些限制(持续高 BPS 的媒体服务器、高 PPS 的游戏服务器),一次流量峰值就可能导致误触发拦截。请主动检查您的峰值流量指标与当前阈值,并提前进行调整。导航至弹性 IPv4 页面,点击操作列中的 ⋯ 菜单,然后选择更改拦截阈值。
OutCPS 触发的拦截通常意味着某个实例正以异常速率发起出站连接——这是被入侵的常见迹象。当您看到此类情况时,在重新启用互联网访问之前,请检查该实例是否存在异常进程或连接。
利用指纹规则、地理拦截和 IP 允许/拦截列表主动缩小攻击面,而不是仅依赖被动的基于阈值的拦截。有关设置说明,请参阅配置指南。
拦截默认持续 2 小时。如果正常运行时间至关重要,请不要为每个服务仅依赖单个 EIP——使用多个 EIP 配合负载均衡,这样某个 EIP 被拦截时不会导致整个服务中断。
清洗事件经历定义的状态(清洗中 → 清洗结束,或清洗中 → 封禁路由 → 封禁路由结束)。如果您频繁看到升级至封禁路由的情况,请在管理控制台中检查并优化您的 DDoS 策略。详细信息请参阅清洗事件生命周期。
我的 EIP 被拦截,无法访问我的实例
您的 EIP 可能因阈值超限而被封禁路由。前往 DDoS 防护事件页面查看状态并手动解除封禁路由。
正常流量峰值期间我被拦截了
您的阈值可能对您的工作负载来说过低。导航至弹性 IPv4 页面,点击受影响 EIP 上的 ⋯ 菜单,然后选择更改拦截阈值。
我的实例正在发送我未发起的出站流量
OutCPS 拦截意味着您的实例可能已被入侵。在重新启用互联网访问之前,请调查正在运行的进程和连接。
最后更新于