一、知识简介

DoS（Denial of Service），即拒绝服务攻击。该攻击是利用目标系统网络服务功能缺陷或者直接消耗其系统资源，目的是使该目标客户的系统不可用，无法提供正常的服务。

DDoS（Distributed Denial of Service attack），即分布式拒绝服务攻击。是指借助于黑客技术，将多个计算机联合起来变为“僵尸主机”，联合起来对一个或多个目标发动 DDoS 攻击，以成倍地拒绝服务攻击威力，使受害者无法提供网络服务。

CNAME：别名记录。即实现将一个域名解析到另外的一个域名，CNAME 可将多个主机名指向一个别名，从而实现快速地变更 IP 地址。

黑洞：黑洞是指服务器所受攻击流量超过用户购买高防的套餐防护上限时，京东云 IP 高防将屏蔽服务器的外网访问。

IP 高防原理及示意图：

用户开通 IP 高防服务，配置将用户访问的 IP 地址引流到高防服务提供的 IP 地址上，经过 IP 高防服务对所有异常流量的实时检测和清洗，确保仅正常流量可回源到用户服务器，从而保证了源站的稳定可靠。

IP 高防实例

IP 高防实例是京东云提供给客户的一种安全防护服务，客户可以在 IP 高防实例上配置各种防护的配置，规则，例如购买高防的防护能力，从 10G 到 400G 以抵御不同攻击的规模；转发的规则，例如回源的规则；黑白名单

弹性防护

京东云 IP 高防的计费项有三个：保底防护带宽、业务带宽、弹性防护带宽

保底防护带宽：指购买的单位时间内，提供的固定攻击防护峰值，单位为 Gbps。

业务带宽：指非 DDoS 攻击状态下的正常业务消耗带宽，单位为 Mbps。默认赠送 100Mbps，可根据需要购买更大的业务带宽。（高防到客户源站的带宽）

弹性防护带宽：超过保底防护，按照所在的最大弹性计费区间，生成的费用，单位为 Gbps。

例如：

保底防护带宽 10G + 业务带宽 100M + 弹性防护带宽

弹性防护带宽 如果是 0G，代表没有没有弹性，如果被攻击的流量超过 10G，将触发黑洞，服务器的所有访问将被屏蔽。IP 高防默认的黑洞策略是封禁 2 小时，如果 2 小时内该服务器不再遭受攻击，将自动解封。如果攻击流量过大，触发了运营商的封禁，解封时长将由运营商的策略决定，时长不确定

弹性防护带宽 如果是 10G，代表被攻击的流量可以达到 20G（弹性防护是按天后付费）

二、IP 高防使用配置流程

配置网站（备案）

注意：

正式的网站上线需要先做备案的。

京东云 IP 高防只针对做过备案的域名提供服务，所以需要首先对域名进行备案

2.1.1 登录京东云，选择“备案”

2.1.2“开始备案”

2.1.3 填写备案信息，然后“验证”

2.1.4 输入主体信息，然后“下一步”

2.1.5 填写网站信息，然后“下一步”

2.1.6 上传个人资料，然后“下一步”

2.1.7 提交信息

2.1.8 提示后，“继续提交”

2.1.9 完成备案信息的提交（京东云将在 1 个工作日内完成备案初审审核）

在控制台可以看到备案网站的信息

2.1.10 需要上传蓝底的照片

2.1.11 以上步骤都执行完成以后，备案会提交到工信部审核，大概需要等 20 个工作日

2.1.12 工信部审核通过以后，相应的人即备案的时候提交了谁的信息，谁就会收到工信部确认通过的短信，和邮件。

创建 IP 高防实例

2.2.1 登录京东公有云

2.2.2 打开控制台

2.2.3 选择“云安全”->“IP 高防”->“实例列表”

2.2.4 点击按钮“创建”

2.2.5 输入高防实例的信息

实例名称：dcf-ipgf

线路类型：电信

IP 个数：1 个

保底防护峰值：10Gbps

CC 防护峰值：30,000QPS

弹性防护峰值：0Gbps

业务带宽(M)：100M

端口数：60 个

防护域名数：60 个

数 量：1

购买时长：1 个月

注意：

IP 高防支持单线和多线的线路购买。

• 单线：电信线路支持最大 400G 的防护带宽。

• 多线：电信+联通线路，支持最大 400G 的防护带宽。默认情况下电信线路会解析到电信机房，联通线路解析到联通机房。如攻击流量超过联通机房的最大容量，线路会解析到电信线路完成清洗。

点击按钮“立即购买”

立即支付

购买完成以后，就会在实例列表里看到我们购买的 IP 高防实例

创建网站

使用一个云主机搭建一个 HTTP 服务即可

配置转发规则

点击链接“转发配置” 配置转发规则

切换到“网站转发配置”，然后“添加规则”

填写新规则

域名添加（请使用自己申请的域名）

转发协议：HTTP

源站端口：80

转发规则：轮询

回源方式：回源 IP(请使用自己申请的 IP 地址，这个地址就是上面创建 WEB 网站对应的地址，如果有多个网站 IP，就可以填写多个对应的 IP 地址)

是否关联云内公网 IP：否

备用 IP：空缺即可

填写完成规则以后，在下方就可以看到出现以下记录

配置 CNAME

将上图中的 CNAME 先拷贝以下

切换到京东云云解析页面

选择域名 katest1. com（请选择自己的域名进行操作），点击域名右边的链接“解析”

点击按钮“添加解析”新增一条新的解析。

主机记录

记录类型:CNAME – 将域名指向另外一个域名

记录值：将上面拷贝的 CNAME 值粘贴到这里

解析线路：默认

TTL：1 分钟

添加完成以后，会增加一条 CNAME 的记录

三、验证 IP 高防发挥作用

验证提供了两种方法，可任选其一

验证方法一：

登录自己的笔记本，打开 CMD 命令行窗口（Linux 或者 Mac，请打开相应的命令行界面）

Ping 一下网址 www. katest1. com（这里请 ping 自己使用的网址）

Ping 得到的地址是 IP 高防设置的 CNAME 地址，已经对应的 IP 地址

打开一个浏览器（IE，Chrome，FF 都可以）输入网址，网站能够正常的访问。

到此说明，我们的 IP 高防已经发挥作用，将流量过滤以后，转发到了源站。

验证方法二：

找一台 linux 云主机，SSH 登录到上面，具体方法参考课件“云主机”。

输入下面的命令

curl -x www.katest1.com.zwvf3cnz.jcloudgslb.com:80 www.katest1.com

格式参考：curl -x cname:port DomainName，请替换自己的域名。如果得到了网页的输出内容，证明 IP 高防工作正常。