当收到DDoS攻击提醒短信或发现业务出现异常时,您需要快速了解攻击或业务情况,包括攻击类型、流量大小、当前防护效果等。在掌握足够的信息后,您才可以采取正确的处理方式,第一时间保障业务正常。

DDoS高防IP管理控制台的安全报表提供丰富的信息帮助您快速了解当前业务或攻击情况。

  1. 登录云盾DDoS防护管理控制台
  2. 定位到统计 > 安全报表页面,单击DDoS攻击防护页签,选择实例和高防IP,设置查询时间区间,查看是否存在网络流量型攻击。
    • 您可以通过快速查询选择24小时查看当前遭受攻击情况,包括所选择的高防IP的网络接收流量和网络攻击流量趋势。当遭受网络流量型攻击时,在网络流量趋势图中可以明显看到网络攻击流量的峰值及攻击大小。

    • 您可以通过单击攻击类型攻击次数页签查看攻击详情。

      • 攻击次数:查看该时间段内所遭受的攻击次数,以及攻击的开始和结束时间、持续时长、攻击类型和清洗结果。通过单击查看攻击源IP可以查看发起攻击的源IP,同时您可以下载相关信息用于攻击溯源并作为报警证据。
        说明 如果攻击持续时间比较短,可能出现查看不到攻击源IP的情况。


      • 攻击类型:查看该时间段内检测到的攻击类型,以及各攻击类型的流量清洗报文数量,帮助辨别当前流量型攻击的攻击类型分布情况。

  3. 定位到统计 > 安全报表页面,单击CC攻击防护页签,选择实例,选择网站域名,设置查询时间区间,查看是否存在网站业务CC攻击。
    说明 查看网站业务是否遭受CC攻击,需要确认您的网站业务已添加至DDoS高防的网站域名配置中。
    您可以通过快速查询选择24小时查看网站域名的QPS趋势图。您可以观察总QPS值是否远高于您正常情况下的访问量(QPS),并查看攻击QPS是否有数值且数值巨大。如果存在CC攻击,高防会记录下攻击的开始时间、结束时间、攻击持续时间、攻击状态、阻断次数和攻击峰值等信息。

攻击处理建议

通过上述方法对您的业务情况和所遭受的攻击情况掌握足够的信息后,您可以参考以下方式进行处理。
  • 如果在DDoS攻击防护报表或CC攻击防护报表中已查看到攻击日志,但是业务仍然无法正常访问,您可能需要调整清洗模式来提升清洗效果。

    您可以登录云盾DDoS防护管理控制台,在防护 > 防护设置页面调整清洗模式。

    • 如果是网络流量型攻击,您可以调整指定高防实例线路的清洗模式来应对不同的DDoS攻击类型。
      说明 关于各四层清洗模式的清洗效果,查看四层清洗模式设置
    • 如果发现您的高防IP已经被黑洞,您可以通过黑洞解封功能快速解除高防IP的黑洞状态。
    • 如果您业务的用户访问主要集中在中国大陆地域,您可以考虑使用流量封禁功能来暂时封禁来自海外的访问流量,压制大流量攻击的规模。
    • 如果是网站CC攻击,您可以通过调整被攻击网站域名的清洗模式来应对不同的CC攻击类型。
      说明 关于各七层清洗模式的清洗效果,查看HTTP(S) Flood攻击防护设置
  • 如果在DDoS攻击防护报表或CC攻击防护报表中未查看到任何攻击,但业务仍然无法正常访问,参考以下处理方式。
    • 如果是七层网站业务,建议您开启全量日志功能,通过查看七层网站业务的访问日志进一步分析访问问题。例如,发现某个网址访问量特别大的情况,您可以通过CC自定义规则针对该网址进行防护。
      说明 关于全量日志功能,查看全量日志
    • 如果是四层业务存在大面积用户访问问题,建议您先检查源站服务器(例如,连接数、CPU负载、内存使用率、服务器出口带宽负载情况等),再逐步排查高防到源站服务器的网络接入情况、以及用户侧到高防的网络接入情况等。