近源流量压制是指对业务中电信、联通线路的非中国内地流量进行封禁,在靠近攻击源的位置丢弃流量,降低DDoS高防进入黑洞的可能性,封禁期间支持随时解除。本文介绍如何设置近源流量压制。
应用场景
当DDoS高防实例遭遇特大流量攻击,并且发现攻击流量有超过实例最大防护能力的趋势时,建议使用近源流量压制。一般情况下,假如海外攻击流量占比30%左右,通过封禁海外流量即可大大缓解防御压力,将攻击规模控制在实例最大防护能力范围内。
适用范围
仅DDoS高防(中国内地)支持近源流量压制功能,DDoS高防(非中国内地)服务不支持。
操作步骤
登录DDoS高防控制台。
在顶部导航栏,选择中国内地地域。
在左侧导航栏,选择。
在基础设施DDoS防护页签下,从左侧实例列表中选择要设置的DDoS高防实例。
定位到近源流量压制区域,根据需要执行以下封禁操作:
封禁电信海外流量:单击电信海外后的操作,设置封禁时长后单击确定。
封禁联通海外流量:单击联通海外后的操作,设置封禁时长后单击确定。
说明建议您优先封禁电信海外流量,并观察攻击规模的变化趋势。如果攻击流量还是很大,超过当前防护能力,则可以考虑再封禁联通海外流量。
可以单击查看封禁信息,查看本次封禁的区域和时间范围。
说明流量封禁期间,可以单击解封,提前解除对应线路的海外流量封禁。
执行结果
如果近源流量压制失败,会收到失败提示信息,请根据提示排查问题后再次尝试。如果未出现任何提示信息,则表示近源流量压制已成功。
配额与限制
策略生效时长:支持自定义,时间范围为15分钟~24小时。
额度消耗:封禁一次电信或联通海外流量都会消耗一次额度,不同套餐实例拥有的封禁次数不同。
功能套餐说明
标准功能套餐实例:提供 10 次/账号 的总额度。该额度为一次性消耗,用完即止。
增强功能套餐实例:提供 20 次/账号 的总可用额度,由两部分组成:
基础总额度:10 次(账号级,用完即止,同标准套餐)。
周期重置额度:10 次/账号/自然月(每月自动重置)。
重要近源压制功能是账号级别的功能,若存在多个实例时,只要其中一个实例为增强功能,则该账号的近源压制次数就按照增强功能生效。
多实例生效优先级
近源压制功能作用于账号级别。若一个账号下挂载多个实例,只要其中任一实例为“增强功能套餐”,该账号即整体享受增强版的额度规则(即:10 次总额度 + 10 次/月重置额度)。升降配说明:
升配:当升级到增强功能套餐时,本月立刻额外增加10次近源压制次数,并优先使用增强功能的压制次数。
降配:当降级为标准功能套餐时,增强功能的近源压制次数立即失效,账号仍可使用标准功能的未使用次数。
使用示例
1月1日:购买标准功能套餐后,获取
10次永久压制次数。1月2号:使用
3次后,剩余次数为7次。2月1号:剩余次数仍为
7次。2月2号:购买增强功能套餐后,本月立即增加10次,剩余压制次数为
10+7=17次。2月4号:使用1次(增强版套餐次数)后,剩余压制次数为
(10-1)+7=16次。3月1号:增强功能套餐刷新次数,剩余压制次数为
10+7=17次。3月4号:降配至标准功能套餐后,增强功能次数立即失效,剩余压制次数为
0+7=7次。
近源流量压制和区域封禁对比
特性 | 近源流量压制 | 区域封禁 |
实施位置 | 运营商骨干网核心路由器。 | DDoS高防清洗机房内部。 |
丢弃流量的位置 | 靠近攻击源。 | 靠近攻击目标。 |
适用场景 | 遇特大流量攻击,并且发现攻击流量有超过实例最大防护能力的趋势。 | 防护连接资源消耗型攻击。 |
是否减少进入高防流量 | 是 | 否 |
主要用途 | 减少流量进入DDoS高防网络,缓解整体网络压力。 | 封禁来自特定地区的流量,保护目标资源。 |