了解 Cloudflare DDoS 警报如何提供实时攻击情报。
概述
Cloudflare 的分布式拒绝服务(DDoS)警报提供您的互联网资产所遭受攻击的实时(约 1 分钟内)通知。
警报类型
Cloudflare 发出两种 DDoS 警报:HTTP DDoS 警报和 L3/L4(网络/传输层)DDoS 警报。
Cloudflare 针对以下攻击发出 DDoS 警报:
- HTTP 攻击持续 2 分钟以上,每秒生成 2,000 多个请求
- L3/L4 攻击持续 2 分钟以上,每秒生成 20,000 多个数据包
可用性视 Cloudflare 服务而异:
| Cloudflare 服务 | ||||
|---|---|---|---|---|
| 警报类型 | WAF/CDN | Spectrum | Spectrum BYOIP | Magic Transit |
| HTTP DDoS 警报 | ✅ | ❌ | ❌ | ❌ |
| L3/L4 DDoS 警报 | ❌ | ✅ (仅限 Enterprise 计划) |
✅ | ✅ |
警报内容
每一警报均包含简短的描述、检测并缓解攻击的时间、攻击的类型、最大攻击速率以及攻击目标,如下例所示:
查看仪表板按钮链接到 Cloudflare 仪表板,方便您立即调查正在进行的攻击。
递送方式
Cloudflare 通过电子邮件、Webhook 和 PagerDuty 发出警告。可用性视 Cloudflare 计划而异:
| Cloudflare 计划 | ||||
|---|---|---|---|---|
| 递送方式 | 免费 | Pro | Business | 企业 |
| 电子邮件 | ✅ | ✅ | ✅ | ✅ |
| Webhook | ❌* | ✅ | ✅ | ✅ |
| PagerDuty | ❌* | ❌* | ✅ | ✅ |
* Free 或 Pro 区域是否提供其他递送方式,取决于您的 Cloudflare 帐户中的最高区域计划。
- 如果您的 Cloudflare 帐户至少有一个采用 Pro 计划(或更高)的区域,则 Webhook 可在采用 Free 计划的区域内使用。
- 如果您的 Cloudflare 帐户有至少一个采用 Business 计划(或更高)的区域,则 PagerDuty 可在采用 Free/Pro 计划的区域内使用。
设置 DDoS 警报
在能够接收 Cloudflare DDoS 攻击警报前,您必须创建警报通知策略。要在策略中将 PagerDuty 用作递送方式,请首先将 PagerDuty 连接到 Cloudflare。
若要创建警报通知策略,请按照下列步骤操作:
1. 登录您的 Cloudflare 帐户,再选择通知选项卡。这时会显示通知页面。
2. 在通知卡片中,单击创建。这时会显示创建通知页面。
3. 使用事件类型下拉列表,选择要接收的警报类型:HTTP DDoS 攻击警报或 L3/L4 DDoS 攻击。
4. 单击下一步。使用显示的其他控件提供通知的名称和描述,如以下示例所示:
5. [可选] 如果您具有 Cloudflare Business 或 Enterprise 计划,并且已将 PagerDuty 连接到 Cloudflare,则可以使用连接通知服务复选框来配置应接收攻击警报的服务。如需相关说明,请参见将 PagerDuty 连接到 Cloudflare。
6. 要添加电子邮件地址列表,请单击添加电子邮件收件人,再输入电子邮件地址。重复此步骤,直到您的列表完整为止:
7. 单击创建。这时会显示通知卡片,并列出您的新通知策略:
DDoS 报告
Cloudflare 自动向 Magic Transit 和 Spectrum BYOIP 客户发送每周 L3/L4 DDoS 攻击总结报告。如需更多信息,请参见了解 Cloudflare DDoS 报告。