在文档使用中是否遇到以下问题
感谢您的打分,是否有意见建议想告诉我们?
感谢您的反馈,反馈我们已经收到
摘要: 本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。
本文介绍了如何配置DDoS日志分析功能,结合实际场景详细介绍了如何使用日志对DDoS访问与攻击日志进行分析与图形化操作。
刚进入DDoS高防控制台的全量日志下,在界面引导下开通日志服务并授权操作后。就可以给特定的网站启用日志分析功能了。
当选择某一个网站点击日志分析
时,会展示基于这个网站的日志分析界面:
这个查询界面大致可以划分为如下几个功能区域:
来展示属于这个网站的日志。关于查询语句框的具体信息可以参考后面内容。
或
条件查询
这里搜索所有包含并且包含error
或者404
的日志。例如:
这里搜索所有包含并且包含failed_
开头关键字。例如:
注意:查询只支持后缀加*
,不支持前缀*
,如:*_error
。
如果要搜索某个客户端的所有错误404的访问日志,可以这样:
这里搜索所有慢请求日志(响应时间超过5秒):
也支持区间查询,查询响应时间大于5秒且小于等于10秒(左开右闭)的日志:
针对特定字段的存在与否进行查询:
DDoS网站访问日志和攻击日志具体有哪些字段可以进行查询,它们的含义、类型、格式以及可能的值有哪些,可以参考
关于完整的查询语法,例如操作符关键字、优先级、如何查询包含引号的字符等,可以参考
这里一目了然的展示了符合查询时间和查询语句的日志的时间分布。以时间为横轴,数量纵轴的柱状图形式展示。下方展示了查询的日志总数。
注意:可以在柱状图上滑动以选择更小范围的时间区域,时间选择器
会自动更新为选择的时间范围,并刷新结果。
这里以分页的形式展示了每一条日志的详细内容,包括时间、内容以及其中的各个字段。可以对列进行排序、对当前页进行下载,也可以点击#6.1 下载与展示列调整
中齿轮按钮,选择特定的字段进行展示等。
注意:可以在页面中点击相应字段的值(或者分词),那么会自动在#4 查询语句输入框
中自动加入相应的搜索条件。
例如鼠标点击request_method: GET
中的值GET
,会自动给搜索框加入如下语句:
字段列表展示了日志库的所有字段,它们的含义、类型、格式以及可能的值有哪些,可以参考。
点击每一个字段旁的眼睛按钮,可以展开对这个字段的各个值的分布。例如点击content_type
将会展示来自当前查询下请求内容类型的分布:
可以点击链接approx_distinct
,展示这个字段有多少个唯一的值。也可以点击上图的小图标,展示具体的分布信息。
如果选择的是数值型的字段,如status
,则提供最大最小等值的快捷统计方式:
注意:以上操作会切换查询界面为统计界面并展示结果,我们会在后面内容介绍。
配置源站保护,并不能防止没有经过高防的流量对源站直接发起DDoS攻击(甚至将源站打进黑洞)。配置高防源站保护只针对小流量CC攻击以及Web攻击有防护意义,对于防护大规模DDoS攻击的意义并不大。不同场景下高防源站保护的方式和原理不同。
请参考本文介绍的场景,选择适合您当前架构的方式进行配置。
在这种架构下,访问ECS、源站流量的源IP都会变成高防的 。
您可以使用源站上的安全软件(如iptables、防火墙等),只放行高防的回源IP,同时拦截其他所有来自非高防回源段的IP地址。
在这种架构下,访问ECS流量的IP变成SLB的IP。
建议您通过SLB的白名单功能来只允许高防IP访问SLB。关于如何设置SLB白名单,请参考。
在这种架构下,访问ECS流量的IP会变成WAF或者CDN的IP,原理和SLB相同。
如果条件允许,您可以在WAF、CDN配置相应策略,源站的策略则针对WAF或CDN的回源IP来配置。
源站保护对四层转发无效。即使配置源站保护,如果攻击绕过高防IP直接攻击源站,还是会将源站的上游链路堵死或者引发黑洞,无法起到源站保护的效果。
参照以下步骤,来设置ECS安全组。
从左侧导航栏选择 安全组,并选择目标区域(安全组只能应用于相同区域下的ECS),单击 创建安全组。
填写安全组名称、描述等信息,单击 确定。
在新创建的安全组的操作列下,单击 配置规则 进入规则编辑页面,单击 添加安全组规则。
假设高防IP服务的回源IP段为 1.1.1.0/24
,您可以按如下示例添加安全组规则。
按照示例中放行全部高防回源IP段后,再添加一条优先级较低的规则拒绝所有IP访问。
配置完安全组规则后,找到需要放行高防回源IP的ECS实例,选择本实例安全组,单击 加入安全组,将ECS实例加入该安全组。