智防系統(tǒng)常見問題解答

智防系統(tǒng)的抗D原理是怎樣的？

智防系統(tǒng)建立了龐大而強(qiáng)大的防護(hù)清洗池。用戶無需做任何部署，僅需將自己網(wǎng)站的DNS修改為智防系統(tǒng)提供的防護(hù)服務(wù)器DNS，原始流量經(jīng)過防護(hù)服務(wù)器的過濾，即可將惡意攻擊流量清洗掉，從而保障網(wǎng)站正常業(yè)務(wù)的運(yùn)行。

為什么接入智防系統(tǒng)后，我網(wǎng)站的ip被ping時(shí)變了？

您的網(wǎng)站真實(shí)ip并不會(huì)被改變，而是在接入了智防系統(tǒng)后，您網(wǎng)站的域名被隱藏到了智防系統(tǒng)防護(hù)服務(wù)器后面，這樣攻擊者將無法嗅探到您的真實(shí)ip。惡意攻擊流量也都會(huì)被智防系統(tǒng)防護(hù)服務(wù)器過濾之后，再轉(zhuǎn)發(fā)給您的網(wǎng)站服務(wù)器，從而保障您的站點(diǎn)安全。

智防系統(tǒng)免費(fèi)抗D系統(tǒng)的防御峰值有多大？

智防系統(tǒng)為免費(fèi)用戶提供5G峰值的防護(hù)。我們在研究中發(fā)現(xiàn)，針對(duì)中小型站點(diǎn)的DDoS攻擊里，90%的攻擊峰值在5G以下。也就是說，如果您的站點(diǎn)沒有特殊需求，5G峰值足夠防御絕大多數(shù)的惡意DDoS攻擊。

智防系統(tǒng)的抗D原理是怎樣的？

智防系統(tǒng)建立了龐大而強(qiáng)大的防護(hù)清洗池。用戶無需做任何部署，僅需將自己網(wǎng)站的DNS修改為智防系統(tǒng)提供的防護(hù)服務(wù)器DNS，原始流量經(jīng)過防護(hù)服務(wù)器的過濾，即可將惡意攻擊流量清洗掉，從而保障網(wǎng)站正常業(yè)務(wù)的運(yùn)行。

智防系統(tǒng)可以保護(hù)哪些網(wǎng)站的安全？

智防系統(tǒng)能保護(hù)任何業(yè)務(wù)類型的網(wǎng)站，如在線金融、網(wǎng)絡(luò)游戲、在線教育、網(wǎng)絡(luò)購物。但前提條件是您的網(wǎng)站已取得合法備案，且無任何有違國家相關(guān)法規(guī)的內(nèi)容，如色情、暴力、反動(dòng)、盜版等。否則智防系統(tǒng)將不對(duì)該網(wǎng)站提供任何安全服務(wù)。

關(guān)閉源站服務(wù)端的對(duì)轉(zhuǎn)發(fā)節(jié)點(diǎn)的訪問限制

由于防護(hù)系統(tǒng)是轉(zhuǎn)發(fā)架構(gòu)，真實(shí)用戶的源IP經(jīng)過防護(hù)節(jié)點(diǎn)時(shí)會(huì)轉(zhuǎn)換成防護(hù)節(jié)點(diǎn)的轉(zhuǎn)發(fā)服務(wù)器的IP地 址，所以從原始客戶端過來的請求經(jīng)過轉(zhuǎn)發(fā)后，會(huì)從較少量的IP集中轉(zhuǎn)發(fā)到源站，如果源站服務(wù)端有使用一些防護(hù)服務(wù)或者防護(hù)軟件，很有可能會(huì)判斷為異常訪問進(jìn)行攔截，這時(shí)需要關(guān)閉防護(hù)服務(wù)或者把防護(hù)節(jié)點(diǎn)的IP段加入白名單方向（防護(hù)節(jié)點(diǎn)的IP段可以咨詢工作人員）。

被攻擊時(shí)接入防護(hù)更換源站IP

在正在被攻擊時(shí)接入防護(hù)系統(tǒng)，由于源站服務(wù)器的IP已經(jīng)暴露，即使馬上接入防護(hù)，攻擊者可能還是繼續(xù)攻擊源站IP，這樣就繞開了防護(hù)，導(dǎo)致防護(hù)無效，這時(shí)需要更換源站IP，注意更換的新IP后不要直接在站點(diǎn)DNS上修改，而是應(yīng)該先進(jìn)行防護(hù)接入，然后在防護(hù)系統(tǒng)中設(shè)置新的回源IP，確保新的IP不會(huì)再次暴露出去。更換的新IP最好和原IP不同網(wǎng)段，以避免再次被攻擊者掃描探測，如果不能不同網(wǎng)段，可以采取一些避免探測的措施盡量繞開探測，具體的措施可以咨詢工作人員。

接入防護(hù)時(shí)同IP的域名要接入完整

經(jīng)常會(huì)有多個(gè)域名指向同一個(gè)服務(wù)器IP，如果要防護(hù)的服務(wù)器是這種情況，在接入防護(hù)時(shí)，要把相關(guān)的域名都接入防護(hù)，避免攻擊者進(jìn)行子域名掃描，探測出源站IP，從而繞開防護(hù)直接攻擊源IP。

如何獲取http、https協(xié)議轉(zhuǎn)發(fā)后的用戶真實(shí)IP

接入云盾防御后，用戶訪問的數(shù)據(jù)會(huì)先通過云盾節(jié)點(diǎn)，云盾節(jié)點(diǎn)會(huì)清洗掉攻擊流量，通過轉(zhuǎn)發(fā)設(shè)備把正常的訪問轉(zhuǎn)發(fā)回源站。因用戶訪問數(shù)據(jù)先通過云盾節(jié)點(diǎn)轉(zhuǎn)發(fā)，源站獲取到的來源IP將是云盾節(jié)點(diǎn)的IP，而不是真正用戶IP。如需要獲取用戶真實(shí)IP信息的產(chǎn)品，請配合在源站服務(wù)器上進(jìn)行以下修改：

1. http協(xié)議

在源站的http服務(wù)引擎日志配置增加獲取X-Real-IP或者X-Forwarded-For字段，打印出來即含有真實(shí)IP

2. https協(xié)議

因https加密，云盾無法填寫X-Real-IP和X-Forwarded-For，所以需要其他方式獲取，

總共有三種方式

2.1提供證書和密鑰

云盾解密后安裝http方式添加X-Real-IP和X-Forwarded-For

2.2使用proxy protocol協(xié)議

如果源服務(wù)器引擎支持proxy protocol協(xié)議，則可以獲取真實(shí)IP，例如支持nginx和tengine等引擎

2.2.1源服務(wù)器引擎

在源服務(wù)器引擎配置上，可增加多個(gè)服務(wù)，監(jiān)聽不同端口

此種配置下，真實(shí)IP的變量為$proxy_protocol_addr，而不是X-Real-IP和X-Forwarded-For

配置代碼：

http{

#原有配置不變

server

{

listen 443 ssl;

#配置證書等

}

#新增8443監(jiān)聽，啟用proxy_protocol功能

后端為php配置示例

server

{

listen 8443 proxy_protocol;

ssl on;

ssl_certificate /xxx.crt;

ssl_certificate_key /xxx.key;

server_name xxx;

location /

{

root /xxxx;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

#php接口會(huì)先獲取http_client_ip做用戶IP

fastcgi_param HTTP_CLIENT_IP $proxy_protocol_addr;

}

}

2.2.2源服務(wù)器防火墻需開放

2.2.3登錄云盾官網(wǎng)，修改防御配置
在配置完proxy protocol協(xié)議和防火墻開放8443端口后，需要進(jìn)入到云盾安全個(gè)人用戶中心，增加或修改https協(xié)議，將https協(xié)議修改為https(proxy)協(xié)議，填寫8443端口保存即可

2.3安裝云盾定制內(nèi)核掛載模塊

使用云盾定制內(nèi)核模塊即可獲取真實(shí)用戶IP，其他應(yīng)用層軟件均無需做任何變動(dòng)

2.3.1 linux系統(tǒng)

需要回源服務(wù)器放提供的信息/材料

1、服務(wù)器版本信息，cat /etc/redhat-release如centos幾，ubuntu幾？

2、uname –r顯示的內(nèi)核版本，如2.6.32-573.el6.x86_64

3、服務(wù)器的/boot/config-xx文件，如config-2.6.32-573.el6.x86_64；（用于編譯內(nèi)核）

4、/boot/symvers-xxx文件，如symvers-2.6.32-573.el6.x86_64.gz；（用于驗(yàn)證依賴的符號(hào)信息）

2.3.2 windows系統(tǒng)

若用戶的源站服務(wù)器使用windows系統(tǒng)，則需要安裝驅(qū)動(dòng)模塊

1、解壓驅(qū)動(dòng)安裝包

2、運(yùn)行安裝包里的zzassistant.exe即可

3.純TCP協(xié)議防御

同2.3，使用云盾定制內(nèi)核模塊

打開頁面返回502錯(cuò)誤怎么辦？

502問題為云防節(jié)點(diǎn)到源站之間的問題，其頁面的返回有兩種，分云防返回的頁面和源站返回的頁面，云防帶zs: 開頭的具體原因，如下圖：

如果不是此格式的頁面，則為源站返回頁面，源站自行檢查即可

云防返回頁面的具體原因一般分如下兩種：

1、zs:network failed

產(chǎn)生此錯(cuò)誤的原因?yàn)樵品赖皆凑景l(fā)生網(wǎng)絡(luò)鏈接失敗

1). 網(wǎng)絡(luò)波動(dòng)引起失敗，刷新頁面即可

2). 源站機(jī)房網(wǎng)絡(luò)問題，請測試源IP端口的是否可正常打開

3). 源站機(jī)房防御設(shè)備攔截了云防請求，造成鏈接失敗，請檢查是否加白了云防IP段

4). 如排除上述原因，請聯(lián)系云防技術(shù)檢查

2、zs:server reset or timeout

打開頁面返回502錯(cuò)誤

TCP鏈接成功，但請求失敗

產(chǎn)生此錯(cuò)誤的原因?yàn)樵品腊l(fā)送到源站的請求被拒絕或超時(shí)未響應(yīng)

1). 請檢查源服務(wù)有無裝安全狗之類的安全軟件，安裝的話，麻煩加白云防IP段

2). 源服在阿里云上的，需關(guān)閉阿里云上的CC防御

登陸【云盾】控制臺(tái)-->【ddos防護(hù)】-->【基礎(chǔ)防護(hù)】-->【掃描攔截】，把 0.0.0.0 加入白名單關(guān)閉默認(rèn)的cc防護(hù)

如果還是不清楚可以按這個(gè)文檔找到添加白名單的入口，https://help.aliyun.com/knowledge_detail/37914.html，然后把 0.0.0.0 加入白名單關(guān)閉默認(rèn)的cc防護(hù)

3). 如果頁面是刷新很久才出現(xiàn)502，則麻煩檢查源服運(yùn)行是否正常，無法及時(shí)處理請求并返回

4). 如排除上述原因，請聯(lián)系云防技術(shù)檢查

上傳大文件失敗

當(dāng)出現(xiàn)上傳大文件失敗時(shí)，請聯(lián)系技術(shù)人員進(jìn)行修改。

當(dāng)前文章：智防系統(tǒng)常見問題解答
網(wǎng)站網(wǎng)址：http://www.muchs.cn/news0/272350.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗(yàn)、自適應(yīng)網(wǎng)站、軟件開發(fā)、App開發(fā)、虛擬主機(jī)、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)