DDoS基础防护设置流量清洗阈值_DDoS防护(Anti-DDoS)-阿里云帮助中心

当您的云产品业务流量满足清洗条件时，DDoS基础防护会对入方向流量进行清洗，尽可能保障您的业务可用。本文介绍如何设置流量清洗阈值。

什么是流量清洗

流量清洗是指在遭受DDoS攻击时，通过DDoS基础防护对网络流量进行实时监测、分析和过滤，将恶意攻击流量从正常流量中分离出来，并进行阻断或丢弃，只让合法的正常流量到达目标服务器，从而保障服务器的正常运行和网络服务的可用性。

DDoS基础防护在清洗判定中除了基于您设置的BPS/PPS清洗阈值外，还采用了AI智能分析的方法，基于阿里云的大数据能力，自学习您的业务流量基线，并结合算法识别异常攻击。只有当AI智能分析检测到DDoS攻击，且请求流量达到您设置的BPS或PPS清洗阈值时，DDoS防护才会触发流量清洗，避免了使用固定阈值可能导致的误清洗（例如，正常业务上涨波动超出固定清洗阈值，引起误清洗）。

清洗阈值

DDoS基础防护支持您使用系统默认的清洗阈值，也支持您自定义清洗阈值。

系统默认清洗阈值

阿里云针对各类云产品，会根据流量负载动态调整清洗阈值，通常会基于以下两点考虑。

基于云产品实例规格和公网带宽：对于云服务器 ECS、NAT网关等云产品，阿里云会综合考虑云产品的规格以及购买的公网带宽来计算默认清洗阈值。详细信息，请参见云产品规格与清洗阈值。
基于平台整体稳定性和资源分配：阿里云需要保障整个云平台的稳定运行，避免某一云产品遭受攻击时影响到其他用户或云产品的正常使用。在计算默认清洗阈值时，会综合考虑平台的资源总量、当前各实例的负载情况以及历史攻击数据等因素，以确保在遭受攻击时能够合理地分配资源进行流量清洗，同时保证平台的整体稳定性。

说明

系统默认清洗阈值通常为您可以设置的最大清洗阈值，您可以根据业务实际情况适当调低清洗阈值。

自定义清洗阈值

自定义清洗阈值是指您根据自身业务的特定需求、网络环境特点以及安全策略，对流量清洗的触发条件进行个性化设置。

阈值设置建议及注意事项

设置建议

清洗阈值需要略高于实际访问值。阈值如果设置过高起不到防御效果，如果设置过低触发流量清洗可能会影响正常的访问。

例如，对于安全性要求较高的金融交易业务、政府关键信息系统，或者曾遭受过低频高强度攻击的小型网站，在平时流量平稳时，为了防止阈值过高而对少量恶意流量不敏感，可以适当降低清洗阈值。在网站进行推广或促销活动时、游戏大型赛事期间或视频直播平台在热门主播开播时段等，可以调高清洗阈值，避免因正常业务流量高峰而触发误判。

注意事项

自定义设置清洗阈值后：

如果云产品升配：自定义清洗阈值优先级较高，云产品的清洗阈值不会随升配而变化。
如果云产品降配：
- 降配后的“系统默认清洗阈值”低于“自定义清洗阈值”时，清洗阈值会恢复为“系统默认清洗阈值”，自定义清洗阈值配置随即失效，后续云产品继续升配或降配，清洗阈值均为系统默认清洗阈值。
- 降配后的“系统默认清洗阈值”高于“自定义清洗阈值”时，自定义清洗阈值优先级较高，客户云资产清洗阈值不会发生变化。

操作步骤

登录流量安全控制台的资产中心页面，在顶部菜单栏左上角处，选择资产所在地域。
单击需要操作的云产品页面，例如ECS。
说明
IDC网段和专有地址页签的资产不支持清洗设置。
在IP资产列表中，单击目标IP，在IP详情面板，单击清洗设置。
在清洗设置面板，为当前目标实例设置清洗阈值并单击确定。
- 系统默认：根据云产品的流量负载自动调整清洗阈值。
- 手动设置：
  - 流量清洗阈值：该阈值不能超过当前云产品实例公网带宽的1.5倍，不能低于60Mbps。
  - 报文清洗阈值：该阈值不能超过当前云产品实例公网PPS规格的1.5倍，不能低于12000pps。