阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP

实验概述

近来，某些黑客对非网站业务（如端游、手游、APP等）进行DDoS攻击（如：SYN Flood），导致服务器频繁瘫痪，业务无法正常运作，造成巨大损失。因此，越来越多的企业开始关注防御DDoS攻击，规避黑客攻击带来的风险。

本实验主要针对非网站业务类型的企业，指导它们接入高防IP，降低网络风险，减少企业损失。

实验目标

完成此实验后，可以掌握的能力有：

1. 将用户的非网站业务接入到DDoS高防IP服务。
   
2. 配置DNS解析，CNAME解析等。
   
3. 测试、验证DDoS高防配置
   

学前建议

了解阿里云管理控制台的基本使用方法。

第 1 章：实验背景

1.1 背景知识

英雄联盟、DOTA、阴阳师、王者荣耀、饿了么、美团。。。。。这些端游、手游和APP这几年可以说是红的发紫，和人们的日常生活联系也越来越紧密。这就为网络安全带来了极大的挑战。我们可以把这些业务统称为 非网站业务 。

阿里云推出的DDos高防IP服务就包含了刚才描述的非网站业务，可以有效减少遭受大流量的DDoS攻击后导致服务不可用的情况。用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

DDos攻击及其危害

分布式拒绝服务攻击（Distributed Denial of Service，简称 DDoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

TCP/UDP协议

TCP（Transmission Control Protocol，简称 TCP） 和 UDP（User Datagram Protocol，简称 UDP）协议属于传输层协议。其中 TCP 提供 IP 环境下的数据可靠传输，它提供的服务包括数据流传送、可靠性、有效流控、全双工操作和多路复用。通过面向连接、端到端和可靠的数据包发送。通俗说，它是事先为所发送的数据开辟出连接好的通道，然后再进行数据发送；而 UDP 则不为 IP 提供可靠性、流控或差错恢复功能。一般来说，TCP对应的是可靠性要求高的应用，而UDP对应的则是可靠性要求低、传输经济的应用。TCP支持的应用协议主要有：Telnet、FTP、SMTP等；UDP支持的应用层协议主要有：NFS（网络文件系统）、SNMP（简单网络管理协议）、DNS（主域名称系统）、TFTP（通用文件传输协议）等。

DNS解析

域名解析（Domain Name System，简称 DNS）人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是多对一的关系，一个 IP地址不一定只对应一个域名，且一个域名也可以对应多个 IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。

第 2 章：实验详情

2.1 实验资源

在弹出的左侧栏中，点击 创建资源 按钮，开始创建实验资源。

资源创建过程需要1-3分钟。完成实验资源的创建后，用户可以通过 实验资源 查看实验中所需的资源信息，例如：阿里云账号等。

2.2 接入DDos高防IP服务

本小节主要介绍：为非网站业务接入DDoS高防IP服务。

1. 点击左侧导航栏处的 实验资源 ，下拉框中，点击 前往控制台 ，

RAM登录控制台输入 子用户名称 和 子用户密码 ，完成后点击 登录 。

2. 顶部导航栏，点击 产品与服务 ，下拉菜单中依次选择 安全（云盾）—> DDoS高防 ，进入DDoS防护管理控制台。

出现下图提示，直接确定跳过，选择左侧栏，旧版。

3.点击左侧 实例列表 ，将会看到已经启用的DDoS高防IP实例 。

4. 左侧点击 非网站 ，进入非网站业务配置。然后选择 实例 和 高防IP ，点击页面下方的 添加单条规则

5. 配置中输入如下信息，然后点击 确定 ，(本实验我们的非网站业务对应的是TCP端口 3306，在后面测试需要测试3306端口的访问情况)。

说明：转发协议目前支持TCP和UDP ，转发端口表示需要通过高防IP的哪个端口来访问，一般情况选择跟源站相同端口

转发协议：TCP

转发端口：3306

源站端口：3306

源站IP：实验资源 提供的 ECS1-Server 的 弹性IP

注意：如果一个端口对应多个源站IP，可以都填写到源站IP中，以英文逗号隔开，最多支持20个IP，多个源站之间会以轮询方式实现负载均衡；非网站转发端口不支持80端口和UDP的53端口，网站类业务 需要直接在网站业务接入中进行配置。

6. 此时，DDoS高防IP服务接入完成

7.

8. 本小节接入高防IP服务介绍完毕，下面验证接入是否成功。

2.3 验证服务是否接入DDoS高防IP

非网站业务按照域名的使用分为两类：直接用IP访问（不需要域名）的四层业务 和 需要用域名访问的四层业务。本小节的主要内容：分别通过IP和域名两种应用方式来验证非网站业务接入DDoS高防IP服务是否成功。

直接IP访问业务的DDoS高防IP接入的验证：

1.在DDoS高防管理控制台的实例列表中，找到并复制DDoS高防IP的IP地址，后续会在ECS实例中访问该IP地址。

2. 使用 实验资源 提供的 ECS2-Client 云服务器的 用户名 和 密码 ，远程登录 ECS2-client 云服务器。

说明：远程登录云服务器ECS，请参考 帮助文档

3. 使用如下命令访问高防IP的3306端口（高防IP为步骤1中复制的IP地址），telnet 命令能连通则说明转发成功，发送给DDoS高防IP的请求已经转发给后端的实例ECS1-client；否则即失败，请检查前面的配置是否正确。

说明：xxxx 表示 高防IP 。

注意：服务器ECS1-client中mysql数据库开机自动启动，可以直接通过3306端口去访问。

telnet xxxx 3306

需要域名业务的DDoS高防IP接入的验证：

4. 在DDoS高防管理控制台中，左侧点击 网站，查看网站服务中是否已经对域名进行了配置。如果域名已经被配置过，需要先把域名配置删除掉。

5.通过网站接入获取cname值。添加网站，将实验资源中的域名填写在防护网站中，协议类型：http，源站IP填入ECS1的弹性IP，然后点击下一步，选择实例与线路后点击下一步，确定后完成网站添加，即可获取cname值。

6.查看网站添加完成，并且具有cname值。（注意：实验中实际业务对应的是3306端口，添加完成的端口信息为80，不是实际非网站业务对应端口，该添加网站步骤仅为获取cname值）

6.复制cname值，点击左侧的 实验目录 ，然后选择 2.1实验资源 小节 。

在如下图中输入如下信息，完成后点击 解析 。将生成的 CNAME 进行 CNAME解析。

主机记录：www

记录值：之前复制的 CNAME 值

7. 使用域名进行交互的应用场景验证DDoS高防IP是否接入成功。输入如下命令，xxxx 表示 实验资源 提供的 域名 ，如果能够 ping 通证明连接成功。

ping xxxx

8. 在执行如下命令, xxxx 表示 实验资源 提供的 域名 , pppp 表示管理控制台非网站页面输入的 源站端口 。telnet 命令能连通，则说明配置已经生效。

telnet xxxx pppp

9. 至此，用IP和域名两种应用方式验证非网站业务接入DDos高防IP服务接入成功。