阿里云默认为轻量应用服务器免费开通DDoS原生防护基础版服务(也称基础防护),有效防止实例受到恶意攻击,提高轻量应用服务器的防御能力和安全。

背景信息

阿里云DDoS基础防护默认为轻量应用服务器实例免费提供不超过5 Gbps的DDoS攻击防御能力,您可以登录DDoS防护管理控制台查看实际防护阈值。更多信息,请参见DDoS基础防护黑洞阈值

DDoS基础防护可满足较低的安全需求,如果您对安全防护有较高的需求,您可以根据实际业务场景和安全需求开通(以下服务均收费)DDoS基础防护企业版DDoS高防(新BGP、国际)游戏盾,来提供全力防护能力。更多信息,请参见DDoS概述

关于DDoS收费服务的计费说明,请参见DDoS产品计费

DDoS基础防护工作原理

DDoS基础防护为轻量应用服务器提升DDoS攻击防御能力,当流量超出DDoS基础防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。更多信息,请参见什么是DDoS原生防护
说明 当轻量应用服务器遭受大流量DDoS攻击,且攻击流量的带宽阈值(BPS)超过了其DDoS防御能力时,为避免更大损害,轻量应用服务器的公网IP地址会进入黑洞状态。更多信息,请参见阿里云黑洞策略

DDoS基础防护在清洗判定中采用了AI智能分析的方法,您可以根据正常业务流量基线,设置一个清洗阈值。DDoS基础防护能够基于阿里云的大数据能力,自学习您的业务流量基线,并结合算法识别异常攻击。

只有当AI智能分析检测到DDoS攻击且请求流量达到您设置的清洗阈值时,DDoS防护才会触发流量清洗,避免了使用固定阈值可能导致的误清洗。例如:正常业务上涨波动超出固定清洗阈值,引起误清洗。

流量清洗的触发条件包括:
  • 流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
  • 流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入轻量应用服务器实例的流量达到设置的阈值时,无论是否为正常业务流量,DDoS防护都会启动流量清洗。
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以在使用DDoS基础防护时,您需要设置以下阈值:
  • 攻击流量的带宽阈值(BPS):当入方向流量超过BPS清洗阈值时,会触发流量清洗。
  • 攻击报文的包转发率阈值(PPS):当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。

查看DDoS防护信息

  1. 登录轻量应用服务器管理控制台
  2. 在左侧导航栏,单击服务器列表
  3. 服务器列表页面,单击目标服务器卡片,进入服务器概览页面。
    如果服务器较多,可在搜索文本框中,输入公网IP地址或者实例ID筛选服务器。
  4. 服务器信息区域中的DDos防护后,单击更多信息,进入DDoS控制台。
  5. 您可以在DDoS控制台的资产中心页面,查看当前地域下所有轻量应用服务器的DDoS防护信息,包括状态防护能力清洗阈值。具体操作,请参见资产中心asdad

相关操作

创建轻量应用服务器后,您可以根据实际安全需求执行以下操作:
相关操作 说明
设置清洗阈值 轻量应用服务器创建后,默认按最大清洗阈值执行DDoS基础防护。但是最大清洗阈值(BPS)过大,可能无法起到应有的防护作用,所以您需要根据实际情况调整清洗阈值。具体操作,请参见DDos基础防护设置
说明 清洗阈值手动设置建议如下:
  • 清洗阈值需要略高于实际访问值。阈值如果设置过高,起不到防御效果;如果设置过低,DDoS基础防护触发流量清洗可能会影响正常的访问。
  • 如果清洗影响了正常的请求,请适当调高清洗阈值。
  • 网站进行推广或促销活动时,建议您适当调高清洗阈值。
取消流量清洗 当流量达到清洗阈值时,无论是否为正常业务流量,DDoS都会启动流量清洗,此时,可能会导致正常业务不可用或受影响。为了保证正常业务,您可以手动取消流量清洗。具体操作,请参见如何取消流量清洗
警告 取消流量清洗后,当流入轻量应用服务器实例的流量超过对应的黑洞阈值时,您的轻量应用服务器实例的公网IP地址会进入黑洞,请谨慎操作。更多信息,请参见阿里云黑洞策略