IP 高防

产品文档

IP 高防

常见问题

Q:IP高防支持哪些地域的IP接入?

A:IP高防支持任何地域的IP接入,包括京东云内和云外的用户接入。需要注意的是,源站部署在港澳台或海外地区,接入IP高防前请用户自行确认网络延迟和稳定性是否满足要求,如网络延迟过高,经过IP高防转发回源可能出现超时现象,此场景建议使用京东云SCDN产品海外线路。

Q:IP高防支持哪些转发协议?

A:IP高防支持TCP、UDP、HTTP、HTTPS协议的转发配置,并支持websocket协议接入,覆盖所有的业务场景。

Q:非网站类转发和网站类转发的区别?

A:两种转发配置对应不同的应用场景和使用协议,具体区别如下:

  • 非网站类:主要应用于游戏、电商、金融、APP等业务场景;支持协议:TCP协议,UDP协议。

提供3到4层SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood等攻击防护。不支持应用层的DDoS防护。

  • 网站类:主要应用于网站类业务。支持协议:http/https协议,支持websocket接入,支持80和443以及非标端口的接入。

除了提供SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood等攻击防护,还支持CC攻击、HTTP Flood等应用层攻击防护。

Q:IP高防支持哪些线路?

A:IP高防支持BGP线路的购买。

Q:IP高防使用CNAME接入和IP地址接入有什么区别?

A:IP高防支持用户使用CNAME解析接入,也支持使用A记录解析到IP高防的IP地址接入流量,但推荐用户使用CNAME接入IP高防,当遇到运营商或高防节点线路出现问题,用户侧无需做任何操作,IP高防智能调度系统会自动切换到可用线路上,保证用户业务的高可用。如果用户使用A记录解析到IP高防的IP地址上,一旦线路出现问题,需要用户侧手动修改解析进行切换。

Q:IP高防是否支持泛域名?

A:IP高防网站类转发规则配置中,支持对泛域名进行防护。

泛域名解析是指利用通配符(* )作为次级域名,以实现所有的次级域名均指向同一 IP。例如支持配置*.jdcloud.com 。

Q:什么是业务带宽,超过之后会怎么样?

A:IP高防购买的业务带宽是针对整个实例的,指该实例所有正常业务的 IN 或者 OUT 方向的带宽。

IP高防默认赠送100M业务带宽,如超过业务带宽,会触发流量限速,可能导致随机丢包。如业务带宽超出,系统会发送告警通知,建议您及时升级。

Q:接入IP高防的域名有什么要求?

A:根据工信部的相关法律规定,IP高防仅对已备案的域名进行安全防护。如果域名未备案,将不能提供IP高防服务。

Q:CC防护是针对什么业务的?

A:CC防护是针对网站类业务的,默认关闭。CC防护关闭时,CC防护模式不生效。

Q:为什么会发生黑洞?

A:当攻击流量达到您购买的IP高防套餐上限时,将触发黑洞,服务器的所有访问将被屏蔽。

建议购买更高的防护套餐,获得更大的防护能力。套餐升级后,系统将自动解封,解封秒级生效。

Q:黑洞了会封禁多久,如何解封?

A:IP高防默认的黑洞策略是封禁2小时,如果2小时内该服务器不再遭受攻击,将自动解封。

服务器解封的时间,与黑洞触发的次数和攻击峰值均有关系,如果该服务器持续遭受攻击,封禁的时间会不断加长。

如果攻击流量过大,触发了运营商的封禁,解封时长将由运营商的策略决定,时长不确定。

Q:CC防护触发人机识别返回页面是什么?

A:CC防护触发人机识别,首先IP高防会对客户端发起JS挑战,如果客户端为浏览器正常访问,则可以正常通过挑战,如果CC攻击超过一定频率会触发验证码校验,客户端浏览器会返回如下页面,正常填写验证码,则可通过挑战,否则浏览器会持续返回验证码页面。

验证码

Q:高防支持哪些错误状态码?

A:高防对以下特殊情况,设置了错误码页面,你可以根据页面提示,查看和排查问题。

状态码 含义 出现原因 该怎么办
ERROR 493 请求被拦截 您的同一访问多次经过京东IP高防的节点或者被CC防护拦截。 请确认CC防护配置,网站是否配置了多重代理服务器,且代理路径发生环路。
ERROR 500/502/504 源站返回错误 源站返回500/502/504错误号 检测源站服务
ERROR 590/592/594 IP高防返回错误 高防节点回源建连失败或者连接超时 检测源站服务和IP高防配置

状态码返回页面默认样式以下图为例: 错误码

Q:什么是备用IP?配置备用IP有什么好处?

A:备用IP是相对于回源IP来说,作为备用的IP。定义如下:

回源IP:是指发生攻击时,高防的回源地址,可以是IP地址或域名。建议回源IP为外界不可见的IP地址。

备用IP:是指非攻击状态时,高防的回源IP地址,该地址为对外可见的备用IP。备用IP不是必填项。

配置备用IP的好处是:

  • 当用户常态不在高防时,流量将直达备用IP地址,保证常态时,业务延时更低,访问更快;只有攻击时,京东云智能调度中心才会将流量调度到高防进行过滤清洗,转发干净的流量到源站。
  • 常态使用的IP和攻击回源的IP分开,有效提高了用户业务的可用性。

以非网站类配置为例,示意图如下:

您可在实例详情页面,展开“产品图形说明”,查看该示意图。

Eg:

回源IP地址为100.10.10.1,备用IP地址为100.10.10.2,可根据网络状况,进行回源/防御状态栏的切换。

  • 正常状态时,“回源/防御状态”栏请选择回源,流量将直接指向备用IP地址100.10.10.2;
  • 发现攻击时,“回源/防御状态”栏请切换到防御,流量经高防清洗后将回源到IP地址100.10.10.1。

Q:IP高防支持非80端口的网站接入么?

A:支持。IP高防支持自定义端口,满足非标端口的网站类业务接入需求。

Q:什么是HTTP回源?

A:如下图所示,开启HTTP回源之后,经IP高防回源到服务器时,会转换为HTTP的协议回源。默认使用的回源端口为80。

如果HTTP自定义了端口,则使用自定义的端口回源。

Q:IP高防是否支持IPv6?

A:IP高防已经支持IPv6。

Q:接入IP高防后,如何获取客户端的真实IP?

A:如果是(四层)非网站类接入,通过TCP端口转发流量时,源站需要使用TOA模块来获取客户端的真实IP。当端口是UDP转发时,则源站无法获取真实客户端的IP。

如果是(七层)网站类接入,因为使用了七层服务器做代理,所以源站默认看到的是代理服务器的IP地址。我们可以通过HTTP头部的X-Forwareded-For字段来获取客户端的真实IP地址。格式为:X-Forwareded-For:用户真实IP,代理服务器1的IP,代理服务器2的IP,代理服务器3的IP,...

不管经过几层代理(如流量先经过高防,再经过了WAF,LB等代理服务器),用户真实请求的IP永远位于X-Forwareded-For的第一个位置。

更新时间:2021-04-12 19:27:18