DDoS基础防护
DDoS基础防护可以有效防止Web应用防火墙(Web Application Firewall,简称WAF)实例受到恶意攻击。当流入WAF实例的流量满足一定条件时,DDoS基础防护会对流量进行清洗,帮助WAF实例限流,避免WAF实例进入黑洞。本文介绍如何配置WAF实例的DDos基础防护。
防护能力
DDoS基础防护服务默认为WAF实例免费提供最大5 Gbps的流量攻击防护。不同地域支持的最大免费防护规格不同,更多信息,请参见DDoS基础防护黑洞阈值。
当流入WAF实例的流量大于5 Gbps时,为避免DDoS攻击对WAF实例产生更大损害,保护整个集群的安全,WAF实例会进入黑洞,并丢弃进入该实例的所有流量,屏蔽公网对它的所有访问。更多信息,请参见阿里云黑洞策略。
您可以根据WAF实例的实际业务QPS(Queries per Second),计算出实例的最大BPS(Bit per Second)黑洞阈值。计算方式为:最大BPS黑洞阈值(Mbps)=MAX(1024,QPS*8/150)。
防护原理
当流入WAF实例的业务流量满足流量清洗触发条件时,在不影响正常业务的前提下,DDoS基础防护会将可疑流量从原始网络路径中重定向到清洗设备上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标WAF实例。这一过程,也称为流量清洗。更多信息,请参见什么是DDoS原生防护。
流量清洗触发条件
同时满足如下条件时,触发流量清洗:
流量大小
DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入WAF实例的流量达到设置的阈值时,无论是否为正常业务流量,都会启动流量清洗。
流量模型的特征
DDoS基础防护能够基于阿里云的大数据能力,自学习您的业务流量基线,并结合算法识别异常攻击。当流量符合攻击流量特征时,就会触发清洗。
流量清洗方法
流量清洗的方法包括过滤攻击报文、限制流量速度、限制数据包速度等。所以,在使用DDoS基础防护时,您需要设置以下阈值:
BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
PPS(Packet per Second)清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
流量清洗阈值
WAF实例的清洗阈值由实际业务QPS决定,具体计算方式如下表所示。
类型 | 对应值 |
最大BPS清洗阈值(Mbps) | MAX(300,QPS*4.5/150) |
最大PPS清洗阈值(pps) | MAX(70000,QPS*4.5) |
最终清洗阈值以控制台显示为准。关于如何查看清洗阈值的具体操作,请参见查看和设置清洗阈值。
查看和设置清洗阈值
- 登录流量安全产品控制台。
- 在左侧导航栏,单击资产中心。
- 在顶部菜单栏左上角处,选择资产所在地域。
单击WAF页签,定位到目标实例,在清洗阈值列,查看最大BPS清洗阈值、最大PPS清洗阈值。
说明如果您未手动修改过该清洗阈值,则控制台显示为系统默认的最大清洗阈值。
可选:如果实例对应的阈值不符合您的实际业务情况,您可以修改清洗阈值。
定位到目标实例,单击对应IP。
在IP详情页面,单击清洗设置。
在清洗设置面板,为当前目标实例设置清洗阈值并单击确定。
系统默认:DDoS基础防护服务根据WAF实例的流量负载自动调整清洗阈值。
- 手动设置:由您设置流量和报文数量的清洗阈值。说明 当DDoS检测到攻击时,如果流量或者报文数量其中之一达到阈值,就会触发流量清洗。清洗阈值手动设置建议:
- 清洗阈值需要略高于实际访问值。阈值如果设置过高,起不到防御效果;如果设置过低,DDoS原生防护触发流量清洗可能会影响正常的访问。
- 如果清洗影响了正常的请求,请适当调高清洗阈值。
- 网站进行推广或促销活动时,建议您适当调高清洗阈值。
取消流量清洗
当进入WAF实例的流量达到清洗阈值时,无论是否为正常业务流量,都会启动流量清洗。此时,可能会导致正常业务不可用或受影响。为了保证正常业务,您可以对清洗中的实例,手动取消流量清洗。
取消流量清洗后,当流入WAF实例的流量超过对应的黑洞阈值(最大为5 Gbps)时,您的WAF实例会进入黑洞。请谨慎操作。
- 登录流量安全产品控制台。
- 在左侧导航栏,单击资产中心。
- 在顶部菜单栏左上角处,选择资产所在地域。
单击WAF页签,定位到目标实例,单击对应IP。
说明仅IP状态为清洗中时,可取消流量清洗。
在IP详情页面,定位到进行中的清洗事件(事件为清洗且结束时间为空),单击操作列下的取消清洗。