1. 首页>
  2. 腾讯云代理

[官方教程] 腾讯大禹系统简介&接入方式

腾讯云 2017年04月24日 浏览1193

腾讯云代理 腾讯云直播申请 游戏上云

摘要: 针对行业面临DDoS威胁越来越严重的问题,腾讯云安全团队自研并推出了一套业界领先防护方案——腾讯云分布式DDoS防护方案(后称大禹系统)。大禹系统专为移动端业务和HTTP类业务开发商提供的DDoS防护服务。 大禹系统在全国部署了多个攻击防护点,通过高效动态调度网络流量,有效组织起腾讯云全网各点冗余带宽和防护能力,为开发商的业务的高可用性保驾护航。

腾讯大禹系统简介&接入方式



针对行业面临DDoS威胁越来越严重的问题,腾讯云安全团队自研并推出了一套业界领先防护方案——腾讯云分布式DDoS防护方案(后称大禹系统)。大禹系统专为移动端业务和HTTP类业务开发商提供的DDoS防护服务。
大禹系统在全国部署了多个攻击防护点,通过高效动态调度网络流量,有效组织起腾讯云全网各点冗余带宽和防护能力,为开发商的业务的高可用性保驾护航。


大禹系统具备如下几个特点:

免费
大禹系统为开发商提供了免费数倍于腾讯云通用DDoS系统的防护能力,满足绝大多数开发商的DDoS防护需求。接入大禹系统后DDoS防护成本由腾讯云来垫付,开发商不必关心DDoS防护成本。

一次接入,两种能力
大禹系统的防护点是基于腾讯云移动加速服务的加速点和静态加速的节点改造而成,因此具备腾讯云移动加速服务的业务加速能力和网站静态加速的能力。进而客户接入大禹系统后,系统就会向开发商同步提供防护DDoS和加速的能力,即被攻击的时候系统为开发商业务提供防护;不被攻击的时候系统为开发商业务提供加速服务。
业界领先的防护能力
腾讯云网络具备业界最先进的DDoS防护能力,大禹系统每个防护点均具备超大的扩容空间。同时腾讯云安全团队会不断检测业务受攻击情况,根据行业安全现状实施扩容。


腾讯大禹系统技术原理

腾讯大禹系统网络架构
大禹系统大致架构图如下图所示。其中共包括如下几个主要系统:移动加速系统、攻击防护点、源站、腾讯宙斯盾系统。
 
网络节点作用:
调度系统,在大禹系统中起着智能域名解析、网络监控、流量调度等作用。
源站,开发商业务服务器。
攻击防护点,主要作用是过滤攻击流量,并将正常流量转发到源站。
腾讯宙斯盾系统,是腾讯的通用DDoS防护系统,在大禹系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力;另外腾讯宙斯盾系统还保护了所有腾讯的机房和系统。

分布式防护点特点
腾讯云安全团队在全国多个城市搭建了高强度的攻击防护点。分布图如下图所示:

图中的攻击防护点是腾讯云专为大禹系统搭建防护机房。每个攻击防护点均独立部署,和其他腾讯自营业务进行完全隔离,并且为后续的防护能力升级提前进行了网络规划。当前系统中的攻击防护点具备攻击防护影响的最小化,以及防护能力升级的便捷化。
大禹系统中的攻击防护点借助了腾讯云移动加速服务的全网流量调度能力,并针对DDoS攻击的流量特点自研了一套高效流量调度算法,将保证开发商业务的高可用性作为最重要的算法效果指标。

系统适用场景
大禹系统支持如下业务场景:
支持基于TCP,HTTP协议的移动端业务;支持基于HTTP协议的业务
支持安卓/IOS系统;
支持各类主流游戏开发框架,例如cocos2d-x, unity3D等;
支持防护业界主流的各种攻击类型,例如TCP SYN、TCP ACK、TCP FIN、UDP、ICMP、DNS、CC攻击等。


移动业务开发商接入说明
大禹系统使用了腾讯云移动加速的网络流量调度的功能。因此用户只需要接入腾讯云移动加速服务即可以接入大禹系统,获取到腾讯云安全团队提供的强大的DDoS防护能力。

用户案例
2014年2月,某移动开发商被频繁DDoS攻击,其中多次攻击流量超过5G以致业务中断等严重影响到业务。2014年3月X日,该开发商接入了移动加速并申请开通DDoS防护体验,2014年3月Y日,该开发商业务再次遭到TCP SYN的攻击,并单个攻击流量达到7G。 检测到DDoS攻击后,腾讯云安全团队收到攻击告警后立刻关注攻击的影响。攻击开始后,加速点立刻产生告警,安全模块开始分析告警情况,并自动调用移动加速后台,切换开发商的业务为防护模式,将业务和攻击流量全部引向防护点。自攻击流量开始直到流量增加到7G,始终无法突破第一个防护点。直到攻击结束,整个攻击过程仅被攻击最大的那个接入点上的用户出现几次网络抖动。


大禹系统FAQ

A. 如何cname到大禹系统的防护域名,怎么才算成功?
cname记录,即别名记录一般需要到解析服务商或者域名提供商处配置,例如DNSPOD的配置可以参考下图。

设置成功后,您可以ping一下您的域名,如果提示“正在ping ddos.tcdn.qq.com”,则代表接入成功。


B.如果我希望关闭大禹系统,该如何操作呢?
您可以到您的域名注册和解析服务商哪里删除到我们大禹系统的cname记录即可。

C.域名的审核都审核什么内容?
接入大禹系统前我们会审核您的域名是看您的域名是否已在在工信部备案。如果已经备案,则可以接入大禹系统。

D. 如果已经使用了腾讯云负载均衡服务,如何接入大禹系统?
如果您使用了四层负载均衡,那么大禹系统仅支持负载均衡端口为80的情况。如果您的负载均衡端口为80,那么您可以将您的负载均衡IP作为源站IP接入大禹系统。
例如您的负载均衡IP为3.3.3.3,端口为80;服务器A的IP为1.1.1.1,服务器B的IP为2.2.2.2。那接入大禹系统的时候,不需要提供1.1.1.1和2.2.2.2,而只需要提供3.3.3.3即可。
如果您使用了七层负载均衡,那么类似地您可以将您的负载均衡IP作为源站IP接入大禹系统。

E. 大禹系统与现有腾讯云通用防护系统相比优势在哪里?
现有腾讯云通用防护系统,只要接入腾讯云的服务器都可以享有该服务,不需要手动接入。只提供峰值2G的防护能力,攻击流量如果超过2G,就会进行封堵IP操作。
大禹系统当前只针对移动业务和HTTP类业务,必须手动接入。大禹系统的防护能力数倍于腾讯云通用防护系统,并且同时兼备DDoS防护和网络加速两种能力。

F. 大禹系统支持哪些地域的服务器接入?
大禹系统支持广州和上海地区的腾讯云服务器接入;大禹系统不支持香港的服务器接入。

G. 大禹系统与腾讯云移动加速服务的关系是什么?
腾讯云移动加速服务,是利用腾讯分布在全国的两百多个加速节点机房,组建同省同网的高效接入网络,从而为用户提供高速、高可用的网络服务;大禹系统利用了腾讯云移动加速服务构建的这个接入网络,组织起一张巨大的虚拟防护网,当攻击发生时,能迅速的把攻击流量调度到某一防护节点进行清洗,过滤掉破坏性的攻击流量,从而保护源站,有效抵抗DDoS攻击。




大禹系统接入方式:


大禹系统420起已经全量开放,客户不再需要通过提交工单的形式开放白名单。如果客户有需求,直接引导至云安全进行配置即可。


接入流程:
配置接入信息(域名、IP—>审核—>配置生效—>设置域名CNAME纪录


1、配置接入信息
用户首先登陆腾讯云安全:http://manage.qcloud.com/app_security.php
安全服务详情中选择大禹分布式防护菜单,进入配置”TAB页面
1.png


点击添加纪录,配置已有域名或新增域名,设置好受防护的域名纪录与IP点击确定,进入审核步骤
l   大禹系统支持*与@的泛解析
l   IP必须为自己账号下云服务器的公网IP
2.png


2、审核
添加完纪录后进入审核步骤,注:审核过程为系统后台自动执行,无需人工干预。自动审核一般10分钟内完成,如果审核失败,在记录页面会有失败原因提示。


审核包含以下项目
l  域名是否备案:添加的域名必须通过备案系统的校验(必须要有有效的备案号)
l   域名所有权校验:通过顶级域名指向的IP或者APPID文件校验所添加域名是否为用户所有(注:只需校验顶级域名@记录是否指向名下的服务器,不校验子域名)
l   配置IP校验:配置的IP是否为用户所有


重要更新:
在以前的版本中,每次添加新的子域名都会重新校验域名所有权,而且校验域名所有权时会要求用户将域名指向自己的IP,这导致在接入大禹前会暴露自己的真实IP。
现在不用担心这个问题了,在最新版本的大禹系统中针对这个问题作出了如下优化:
l  每个域名只会在首次添加的时候校验所有权
l  增加使用APPID文件来验证域名所有权的方法
l  更换IP时只需重新添加记录即可覆盖原有配置,不需要删除后再添加


APPID文件验证方式说明:
建立一个非空的文件,文件名为用户的APPID,文件名后缀支持.txt.htm .html。
将此文件放入顶级域名网站所在的根目录,审核时系统会去用顶级域名请求这个文件,例如http://dayuxitong.com/1250000001.txt,如果此文件存在(HTTP 200),则所有权审核通过。

3、等待配置生效
当出现如下提示时,说明审核已经通过,只需静待配置在节点同步生效,这个时间根据系统繁忙程度15分钟至数小时不等。
3.png


4、配置CNAME
配置生效后,会分配一个防护域名,用户将所自己的域名使用CNAME解析到这个防护域名即可。
4.png


腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 bbs.qcloud.com

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808