DDoS基础防护

DDoS攻击是一种针对目标系统的恶意网络攻击行为,会导致被攻击者的业务无法正常访问。阿里云免费为弹性公网 IP EIP(Elastic IP Address)提供不超过5 Gbps的DDoS基础防护。

DDoS基础防护工作原理

EIP实例默认开启DDoS基础防护能力,提供不超过5 Gbps的基础DDoS防护能力。所有来自互联网的流量都要先经过云盾再到达EIP实例,云盾会针对常见的攻击进行清洗过滤。更多信息,请参见什么是DDoS原生防护

说明

当来自互联网的流量大于DDoS防护能力时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被屏蔽。DDoS基础防护各个地域默认初始黑洞触发阈值,请参见DDoS基础防护黑洞阈值EIP实例的实际黑洞阈值与所在地域及带宽有关,请以资产中心页面显示为准。

流量清洗的触发条件包括:

  • 流量模型的特征。当流量符合攻击流量模型特征时,将触发流量清洗。

  • 流量大小。DDoS基础防护根据EIP实例的带宽自动设定清洗阈值,当流量达到设置的阈值时,无论是否为正常业务流量,云盾都会启动流量清洗。

流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。DDoS基础防护涉及以下清洗阈值:

  • BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。

  • PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。

清洗阈值

EIP实例的清洗阈值计算方式如下表所示:

表 1. 最大BPS清洗阈值

EIP实例带宽(单位:Mbps)

最大BPS清洗阈值(单位:Mbps)

≤300

450

>300

EIP实例带宽值×1.5

表 2. 最大PPS清洗阈值

EIP实例带宽(单位:Mbps)

最大PPS清洗阈值(单位:pps)

≤100

10万

>100

EIP实例带宽值×1000

例如,EIP带宽为200 Mbps,则最大BPS清洗阈值为450 Mbps,最大PPS清洗阈值为20万。

EIP实例绑定云资源后,清洗阈值会有所变化,请以DDoS防护产品控制台的资产中心页面显示为准。更多信息,请参见资产中心

查看EIP实例防护阈值

  1. 登录弹性公网IP管理控制台

  2. 在顶部菜单栏处,选择EIP实例的地域。

  3. 弹性公网IP页面,找到目标EIP实例,在安全防护列,将鼠标移至云盾图标,在弹出的气泡中,查看BPS清洗阈值、PPS清洗阈值、黑洞阈值。