DDoS教學(下)：識破L7 DDoS攻擊，看懂監控數據的門道

本文分為上下兩篇，以下為全篇內容：

為何監控面板是識破第七層攻擊的必要工具？（上篇）
必要的視覺化報表有哪些？（上篇）
如何分析報表判斷是否有異常流量（DDoS攻擊）？（上篇）
如何看出CDN緩存效能？（上篇）
如何了解CDN防禦情形（WAF防火牆）？
何謂「回源延遲」？
「自定義」監控面板的重要性

DDoS 防禦教學：分析「請求趨勢」了解 CDN 防禦狀況

一站式CDN管理平台的監控面板上，需可查看特定域名的請求狀況、Http狀態碼的回應情況等，協助判斷CDN的防禦情形。

1. 查看域名訪問狀況

針對域名查看被訪問的狀況：利用篩選器指定域名，再配合Domains Trending & Source IP Trending報表，判斷該IP訪問Domain的狀況。

Domains Trending（域名趨勢圖）：數據折線圖可以查看在CDN上流量最高的前10名域名。

Source IPs Trending（來源IP趨勢圖）：數據折線圖。可以查看整體流量前10的IPs。

例如：利用篩選器，找到需查看的域名，再配合 Source IPs 報表，可以觀察該域名每個 IP 的請求量。假設查看 abc.com 時，觀察到 IP:1.2.3.4 對此域名的請求量異常高，可能是高過 Top 2 的 2 倍，在正常使用的域名下，此時就能判斷 1.2.3.4 為疑似攻擊的行為。也可進一步從報表上的時間軸觀察 Domain 或 IP 來的流量與時間軸，是否有異常突起的狀況。

DDoS防禦教學3：利用篩選器指定域名，再配合Domains Trending & Source IP Trending報表，判斷該IP訪問Domain的狀況。

?️延伸閱讀：殭屍網路是什麼？原理與種類詳細介紹，關鍵4招預防攻擊

2. 分析 Http Code 趨勢

Http狀態碼趨勢：可從 Http 狀態碼趨勢曲線圖表觀察 Http 狀態碼事件的發生，如透過 Http 狀態碼 200 的回應數量，得知當下正常訪問的數據，同時，也可以透過 Http 狀態碼，了解 CDN 防禦狀況。

例如：

200：若 Http 狀態碼 200 的回應數量在一定時間區間內，出現異常的峰值起伏，則可判斷為攻擊，可直接於平台上設置 WAF 規則。

403：若 WAF 規則設置後，可以從數據觀察 Http 狀態碼 403 的回應數量，判斷 WAF 是否生效。

DDoS防禦教學4：從Http狀態碼趨勢曲線圖表，觀察Http狀態碼事件的發生，了解CDN防禦狀況。

?️延伸閱讀：CDN教學：解析反向代理伺服器原理與優勢，一次帶你了解

3. 該如何理解「Http狀態碼回應耗費時長」？

Status Code Upstream Response Time (seconds)：從 Http 狀態碼回應耗費時長，可觀察平均每個時間段 http 狀態碼回源伺服器回應的秒數，如 Http 狀態碼 504，可藉由此功能快速查看，回源伺服器是否超過 CDN 預設 60 秒而 Time out。

例如：藉由此數據，可判斷回源伺服器回應是否異常，如當Http狀態碼499發生，可能為回源伺服器耗時過長（未達Timeout 60s上限），用戶端提前中斷請求，進而CDN也與源伺服器中斷連結，導致出現Http狀態碼499回應，由此判斷可能為源伺服器回應時間過久。

作法：

1. 在 CDN 的配置進階設置 Upstream Timeout 的時間值，預設 60s 可上調 120s 或 180s。

2. 若 180s 還是有 Timeout 的情況，且回源伺服器延遲正常，並確認 http code 499 為源伺服器回應，需請對方檢查源伺服器。

DDoS防禦教學5：從Http狀態碼回應耗費時長報表，可得知回源伺服器是否超過CDN預設60秒而Time out。

?️延伸閱讀：中國CDN解決方案：必學的CDN優勢與限制，成功進軍中國

【獨家】識別DDoS外，ApeiroCDN監控面板也可查看回源延遲

回源延遲相關報表，可監控回源線路品質，品質不佳會直接影響用戶端瀏覽網頁的速度，若延遲更高甚至會有Timeout的情況，導致體驗不佳，影響網站業績。馬上一起讀懂回源延遲報表！

1. 查看回源延遲速度

Group Origins Latency (ms)：可查看過去特定時間段內，整體 CDN 回源伺服器延遲是否出現異常。

例如：想查看整體回源伺服器線路品質時，可以利用此面板觀察與過往的延遲差異。

?️延伸閱讀：如何判斷域名被中國防火長城屏蔽（China block）？

2. 利用 Filter 查看特定的源伺服器延遲是否有異常

Origins Latency (ms)：透過此面板可以查看，該 Top 10 域名的回源延遲。

例如：以 www.ncu.edu.tw 當作源伺服器，想查看 CDN edge 到源伺服器的延遲狀況如何，可透過 Origins Latency 觀察指定時間段內的回源伺服器¹是否有異常起伏，且也可以透過 Origin Status Preview，該回源伺服器設置的各個端口²，查看與前 20 分鐘相比的增長百分比是否下降或上升。
註1和2：此範例以域名為源伺服器，源伺服器的形式可以是域名或者IP。當設備網路互相連線時，需要設置特定的端口給協議使用，如http(80)/https(443)，所以在面板上能同時監測兩個端口在回源伺服器延遲與前20分鐘相比的百分比。

3. 如何判斷源伺服器可能無法使用？

Origins Status Preview：可以查看相比20分鐘前的回源伺服器延遲百分比，甚至可以針對該回源伺服器有設置的端口，查看回源伺服器端口延遲狀況。

例如：例如以 www.ncu.edu.tw 當作源伺服器，想查詢 CDN edge 回源伺服器到 www.ncu.edu.tw:1234 以及 www.ncu.edu.tw:9443 的延遲狀況，查看延遲在過去一天的時間內，都維持在 500ms，判斷該回源伺服器為不可用。

?️延伸閱讀：CDN廠商大不同！選擇廠商時必問的技術問題、了解資安優勢

【獨家】DDoS防禦教學：自定義監控面板之必要

自定義（個人化）監控面板為何必要？在多年DDoS防禦實戰經驗中，我們發現不同客戶所遭遇的攻擊型態、商務需求等不盡相同，需側重不同的數據分析，因此需要自定義監控面板來實現個人化服務。ApeiroCDN平台擁有最完整的請求內容，能提供超過150項隨選即用報表，也可直接指定數據，自建報表。同時，監控面版的介面可自行安排，協助做出更快速、精準的判斷。

DDoS緩解獨家功能：ApeiroCDN平台擁有最完整的請求內容，能提供超過150項隨選即用報表。 — 獨家功能：ApeiroCDN平台擁有最完整的請求內容，能提供超過150項隨選即用報表。

?️延伸閱讀：WAF是什麼(Web Application Firewall)？傳統防火牆不管用了？

DDoS緩解獨家功能：ApeiroCDN平台監控面板可自選顯示數據與報表類型，且能自由排列、匯入與匯出面板，實現個人化數據分析。 — 獨家功能：ApeiroCDN平台監控面板可自選顯示數據與報表類型，且能自由排列、匯入與匯出面板，實現個人化數據分析。

1. 如何匯出匯入監控面板？

透過 Export 可以將監控面板資訊匯出Json格式留存，甚至可以修改 Json 資料，再進行匯入，如我們將 ChartTitle:Country_Data 嘗試改名稱為 Country_Data_2 再用貼上 Json 資料匯入即可建立面板。

ApeiroCDN 一站式管理平台的監控面板不論是 Frontend（CDN-用戶端）或 Backend（CDN-源伺服器）都能做到全面數據分析。

Frontend（CDN-用戶端）：客戶可以查看每日請求量的狀況，藉由監控面板數據來分析異常，甚至將異常的請求量利用 CDN 的 WAF 阻擋時，也能即時查看 WAF 阻擋是否生效且是否有效率。
Backend（CDN-源伺服器）：客戶可以查看 CDN 回源伺服器的連線品質，甚至可以快速了解到哪個回源伺服器有異常。

?️延伸閱讀：殭屍網路猖獗，被動防守沒用！懂分析CDN Log才能預防！

ApeiroCDN一站式CDN管理平台，擁有多項獨家功能，包括：業界最精細 WAF 防火牆、最完整的請求日誌、唯一可視 CDN 與源伺服器之間的傳輸延遲、自定義監控面板、24/7真人技術客服等，達到單一介面滿足所有數據分析，成為防禦DDoS攻擊最強力的後盾，無論您的用戶身在何處，都能享有速度與安全兼具的極佳體驗。

上篇內容：