DDoS原生防护(基础版)

DDoS原生防护是一款针对阿里云ECS、CLB、Web应用防火墙、EIP等产品直接提升DDoS防御能力的安全产品,直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口和七层域名数等限制。

DDoS原生防护(基础版)介绍

DDoS原生防护(基础版)默认为CLB等阿里云公网IP资源免费开启,提供最大支持5 Gbps的DDoS原生防护(基础版)。所有来自互联网的流量都要先经过云盾再到达负载均衡,云盾会清洗过滤常见的攻击,例如SYN Flood、UDP Flood、ACK Flood、ICMP Flood和DNS Flood等DDoS攻击。

DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,保证被防护用户在攻击持续状态下,仍可对外提供业务服务。网络拓扑架构如下图所示。

image

DDoS原生防护(基础版)根据公网CLB实例的带宽设定清洗阈值和黑洞阈值。当入方向流量达到阈值上限时,触发清洗和黑洞:

  • 清洗:当来自互联网的攻击流量较大或符合某些特定攻击流量模型特征时,云盾将会自动对攻击流量进行清洗,清洗包括攻击报文过滤、流量限速、包限速等。

  • 黑洞:当来自互联网的攻击流量非常大时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被丢弃。

阈值的计算遵循以下两个原则:

  • 根据CLB实例所购买的带宽(即CLB的出方向带宽)来决定阈值的高低。当实例的带宽较高时,阈值较高;当实例的带宽较低时,阈值相应地会变低。

  • 根据您的安全信誉分来决定黑洞阈值的高低。

    说明

    安全信誉分仅影响黑洞阈值,不影响清洗阈值。

计算阈值

按照以下步骤计算阈值。

  1. CLB后台根据您购买的带宽给出能够满足实例正常工作的阈值建议值。

    说明

    如果您购买的是按流量计费实例,出带宽为实例所在地域所支持的带宽峰值上限。目前中国内地地域带宽上限都是峰值5 Gbps。更多信息,请参见带宽峰值限制

    • CLB带宽与BPS清洗阈值之间的关系

      • 当CLB带宽<100 Mbps时,清洗BPS默认阈值=120 Mbps。

      • 当CLB带宽>100 Mbps时,清洗BPS默认阈值=带宽值*1.2。

    • CLB带宽与PPS清洗阈值之间的关系

      清洗PPS阈值=(CLB带宽值/500)*150000

      带宽值单位为Mbps。

    • CLB带宽与黑洞BPS阈值之间的关系

      • 当CLB带宽<1 Gbps时,黑洞BPS默认阈值=2 Gbps。

      • 当CLB带宽>1 Gbps时,黑洞BPS默认阈值=MAX(CLB带宽值*1.5,2G)。

  2. 云盾根据CLB给出的建议值,结合您安全信誉分和各地域的资源情况,计算出最终的阈值。

    • 云盾评估BPS和PPS阈值的规则。

      BPS最小值为1000 M,PPS最小值为30万个。

      • 当CLB传入的参考阈值小于上述最小值时,取上述最小值。

      • 当CLB传入的参考阈值高于上述最小值时,取CLB传入的参考阈值。

    • 云盾根据您的安全信誉分来决定黑洞阈值的高低。

授权云盾基础防护只读权限

按照以下步骤为RAM账号授予云盾DDoS原生防护(基础版)Anti-DDoS Basic的只读权限。

说明

使用主账号进行授权。

  1. 使用主账号登录RAM访问控制台

  2. 在左侧导航栏,单击身份管理 > 用户

  3. 用户页面,找到目标RAM用户,然后在操作列单击添加权限

  4. 新增授权面板,为RAM角色添加权限。

    1. 选择资源范围。

      • 账号级别:权限在当前阿里云账号内生效。

      • 资源组级别:权限在指定的资源组内生效。

        说明

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务

    2. 输入授权主体。

    3. 选择权限策略。

      选择策略名称列中的AliyunYundunDDosFullAccess,将其加入到已选择的权限策略列表中,然后单击确认新增授权

  5. 单击关闭

查看防护阈值

  1. 登录传统型负载均衡CLB控制台

  2. 在顶部菜单栏,选择CLB实例的所属地域。

  3. 实例管理页面,找到目标CLB实例,将鼠标移至目标实例的云盾图标,查看BPS清洗阈值、PPS清洗阈值和黑洞阈值。更多信息,请参见云盾DDoS防护控制台

    • BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。

    • PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。

    • 黑洞阈值:入方向流量超过黑洞阈值时将触发黑洞。