by 运行时依赖
安装命令
点击复制技能文档
DDoS 安全产品检查和监控 该技能在阿里云账户下对 DDoS 安全产品执行安全检查,完全通过 Aliyun CLI 直接 OpenAPI 调用,无需脚本或 SDK。 架构:antiddos-public(基础防护)+ ddosbgp(原生防护)+ ddoscoo(Anti-DDoS Pro/Premium)-> CLI OpenAPI -> 检查报告 产品和 API 概述 产品 CLI 代码 用例 DDoS 基础防护 antiddos-public 默认免费保护 ECS/SLB,区域参数:--ddos-region-id DDoS 原生防护 ddosbgp 收费升级,原生 IP 级别防护,区域参数:--biz-region-id 或 --region DDoS Anti-DDoS Pro/Premium ddoscoo 专用 Anti-DDoS IP,L4/L7 防护,区域参数:--region [必须] 严格产品路由隔离:三个产品的 API 绝不能混用。绝不能用 ddoscoo API 代替 ddosbgp 查询或反之亦然。如果检测到混用,立即终止。 [必须] ddosbgp 端点路由:ddosbgp describe-instance-list 默认端点不支持中国大陆区域。必须指定 --endpoint ddosbgp.cn-hangzhou.aliyuncs.com 作为所有 describe-instance-list 调用的端点。 [必须] 容易混淆的 API 警告: 场景 正确命令 错误命令(禁止) 原生防护攻击事件 ddosbgp describe-ddos-event(单数) ddoscoo describe-ddos-events Anti-DDoS Pro 攻击事件 ddoscoo describe-ddos-events(复数) ddosbgp describe-ddos-event 预检查 Aliyun CLI >= 3.3.3 必须 — 参见 CLI 安装指南。 凭证必须 — 参见 CLI 凭证设置。 运行 aliyun configure list 以验证。 RAM 权限 — 参见 RAM 权限策略。 [必须] 权限失败处理:在权限错误时:1)阅读 references/ram-policies.md 2)使用 ram-permission-diagnose 技能 3)暂停直到用户确认权限已授予。 [必须] AI 模式生命周期 — 启用在任何 CLI 调用之前,禁用在每个退出点:aliyun configure ai-mode enable aliyun configure ai-mode set-user-agent --user-agent "AlibabaCloud-Agent-Skills/alibabacloud-ddos-security-monitor" 参数确认 重要:所有用户可自定义参数必须在执行之前与用户确认。 参数 必须/可选 描述 默认 检查产品范围 可选 基础/原生/Anti-DDoS Pro,默认所有 所有 时间范围 可选 检查时间窗口 最后 24 小时 比较模式 可选 天对天/周对周/自定义 天对天 基础防护实例类型 可选 ecs/slb/eip/ipv6/swas/waf/ga_basic ecs 区域策略 [必须] ddosbgp 区域遍历(动态 + 硬编码回退): 硬编码基线(12 个区域,必须不减少):cn-hangzhou cn-shanghai cn-beijing cn-shenzhen cn-hongkong ap-southeast-1 ap-southeast-2 ap-southeast-3 ap-southeast-5 ap-northeast-1 us-west-1 eu-central-1 动态扩展:调用 aliyun ddosbgp describe-regions(不是 ECS),并集与基线(只添加,从不减少)。如果动态获取失败,直接使用基线。 计数验证:最终列表 >= 12 个区域。所有必须遍历,绝不能因为空或错误而中断。 antiddos-public:仅从 cn-hangzhou 查询(集中式)。 ddoscoo:必须同时查询 cn-hangzhou + ap-southeast-1。 核心检查工作流 第 1 阶段:环境、凭证和权限预检查 1.1 检查 CLI 版本 + 启用 AI 模式 aliyun version aliyun configure ai-mode enable aliyun configure ai-mode set-user-agent --user-agent "AlibabaCloud-Agent-Skills/alibabacloud-ddos-security-monitor" 1.2 设置全局超时并启用自动插件安装 aliyun configure set --auto-plugin-install true --connect-timeout 10 --read-timeout 30 aliyun plugin update 1.3 检查凭证配置 aliyun configure list 1.4 验证权限(每个产品一个调用) aliyun antiddos-public describe-instance-ip-address --ddos-region-id cn-hangzhou --instance-type ecs --current-page 1 --page-size 1 aliyun ddosbgp describe-instance-list --page-no 1 --page-size 1 --region cn-hangzhou --endpoint ddosbgp.cn-hangzhou.aliyuncs.com aliyun ddoscoo describe-instances --page-number 1 --page-size 1 --region cn-hangzhou aliyun ddoscoo describe-instances --page-number 1 --page-size 1 --region ap-southeast-1 正常 JSON -> 权限 OK | Forbidden.RAM / NoPermission -> 参见 RAM 策略 [必须] 终止规则:如果任何预检查失败 3 次,运行 aliyun configure ai-mode disable,输出错误报告,并终止。 第 2 阶段:产品库存检查(多区域强制遍历) [必须] 循环规则:所有区域必须被查询。在任何错误(InvalidRegionId/Empty/Throttling)时,记录并继续 — 终止/退出是禁止的。 在循环后,验证 EXECUTED >= 12(ddosbgp)或 = 2(ddoscoo)。 记录结果立即在每个调用后 — 依赖内存是禁止的。 空结果处理:总计:0 -> 记录 "无实例",继续 | 错误代码 -> 记录错误,继续 | 正常 -> 提取实例 ID。 在遍历后,编译区域 -> 实例 ID 列表映射用于第 4 阶段。 2.1 基础防护资产