受到DDoS攻击后如何选择防护产品_DDoS防护(Anti-DDoS)-阿里云帮助中心

阿里云基于多年的DDoS攻防经验和安全技术，提供多款正式商用的DDoS防护解决方案供您选择，满足业务中对各类DDoS攻击进行安全防护的需求。本文介绍如何选择合适的DDoS防护解决方案。

视频指导

DDoS防护解决方案

阿里云提供的DDoS防护解决方案包括免费的DDoS基础防护和以下收费服务：DDoS原生防护、DDoS高防，下表描述了不同方案的具体说明。选择防护解决方案前，请您先了解各产品：什么是DDoS原生防护、什么是DDoS高防。

说明

如果需要定制专属的安全解决方案（如超大规格、应用层UDP防护等），可以通过电话咨询阿里云安全架构师。详细内容，请参见联系我们。

产品架构	DDoS基础防护	DDoS原生防护		DDoS高防
产品架构	DDoS基础防护	防护标准型云产品	防护增强型云产品	DDoS高防
方案简介	基于阿里云原生防护网络，不改变源站服务器IP地址，抵御网络层、传输层DDoS攻击。说明 DDoS原生防护增强型目前仅支持EIP。与标准型不同，增强型为您购买云产品时DDoS防护策略选择增强型，而非您购买云产品后，再购买DDoS原生防护实例。			通过DNS解析方式牵引流量到阿里云全球DDoS清洗中心，抵御网络层、传输层、应用层DDoS攻击，隐藏被保护的源站服务器。
防护能力	低，基于阿里云上防御能力，500 Mbps~5 Gbps。详细内容，请参见DDoS基础防护黑洞阈值。	较高，基于阿里云上防御能力，最高可达几百Gbps。详细内容，请参见什么是DDoS原生防护。	高，基于阿里云全球DDoS清洗中心能力，最高可达Tbps以上。	高，基于阿里云全球DDoS清洗中心能力，最高可达Tbps以上。
防护对象	部分阿里云产品。包含ECS、SLB、EIP（包含绑定NAT网关的EIP）、IPv6网关、轻量服务器、WAF、GA。	部分阿里云产品。包含ECS、SLB、EIP（包含绑定NAT网关的EIP）、IPv6网关、轻量服务器、WAF、GA。	部分阿里云产品。目前仅支持DDoS防护增强型EIP。	任意公网IP。
适用场景	购买相应云产品后，默认开启。	IP/端口数量多。业务带宽大，且不能改变对外IP。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。需要极低延迟，保障大流量攻击时业务连续性。偶尔遭受DDoS攻击。	IP/端口数量多。业务带宽大，且不能改变对外IP。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。需要较低延迟，保障大流量攻击时业务连续性。资产需要Tbps级别的DDoS防护能力。偶尔遭受DDoS攻击。	遭受攻击较多且攻防对抗激烈。需要防御精细化应用层CC攻击。需要改变业务对外IP。
说明	免费。	包年包月购买模式，分为中小企业普惠版、企业版。详细信息，请参见原生防护2.0（包年包月）。后付费购买模式，详细信息，请参见原生防护2.0（后付费）。	后付费购买模式，详细信息，请参见原生防护2.0（后付费）。	版本选择指导：访问源、源站都在中国内地时，请使用DDoS高防（中国内地）。访问源、源站都在非中国内地时，请使用DDoS高防（非中国内地）中的保险版或无忧版。跨境场景（访问源在中国内地，源站在非中国内地），请使用DDoS高防（非中国内地）中的加速线路+保险版/无忧版，或者安全加速线路。

适合防御的DDoS攻击类型

下表中使用的符号说明如下：

√：表示支持防御
×：表示不支持防御

攻击类型	攻击子类	DDoS原生防护		DDoS高防
攻击类型	攻击子类	防护标准型云产品	防护增强型云产品	DDoS高防
网络层DDoS攻击	主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。	√	√	√
传输层DDoS攻击	主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。	√	√	√
应用层DDoS攻击（HTTP/HTTPS）	也称Web类应用层CC攻击，主要包括HTTP/HTTPS CC、HTTP慢速攻击（Loic/Hoic/Slowloris/Pyloris/Xoic）等针对HTTP业务的CC攻击，例如网站、API接口、WebSocket等业务。	×	×	√
应用层DDoS攻击（非HTTP/HTTPS的TCP应用层协议）	也称非Web类应用层CC攻击，主要包括TCP CC、TCP空连接、TCP连接资源消耗攻击等针对非HTTP业务的基于TCP应用层的CC攻击，例如私有协议、MySQL、MQTT、RTMP等业务。	×	√ 公测中，当前仅支持杭州地域，请通过售前在线咨询联系商务经理申请。	√
应用层DDoS攻击（基于UDP的应用层协议）	UDP-CC、NS服务的DNS-Flood等针对UDP业务的CC攻击，例如NS服务、UDP游戏业务、UDP语音通话等业务。说明 UDP业务CC防护需要额外购买安全管家，否则不支持。	√ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务，请使用DNS安全。	√ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务，请使用DNS安全。	√ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务，请使用DNS安全。

防护效果说明

由于各类DDoS攻击不断更新，不同的DDoS防护解决方案的防护组件、架构、防护能力等不完全一致，且DDoS攻击场景下有很多业务因素可能会影响DDoS防护的最终效果，我们建议您关注下述可能影响防护效果的场景和业务因素，并按照技术专家积累的攻防对抗经验提升防护能力。

针对接入后的正常业务流量，DDoS防护解决方案的智能AI防护会有正常业务流量特征的学习时间，如您刚接入业务就遭受DDoS攻击或CC攻击，首次攻击可能存在瞬时的攻击透传，建议您尽可能的提升源站负载能力，并按照如下建议进行配置：

DDoS原生防护
- 业务接入后使用默认规则为您防护，在防护过程中针对实时变化的攻击特征自动补充防护能力，同时会针对性下发智能AI防护策略，在策略生效前可能存在瞬时的攻击透传，建议您提前自定义串行防护、端口防护、触发防护等各类防护策略，提升防护效果。具体操作，请参见防护配置（旧）。
- 攻击流量未超过默认清洗阈值会导致攻击透传，尤其是EIP绑定带宽包的情况下可能存在默认清洗阈值较大的情况出现，建议您根据正常业务流量大小调整合适的清洗阈值。具体操作，请参见设置流量清洗阈值。
DDoS高防
建议您通过配置合适的业务场景策略（定制场景策略），或者根据结合业务特点自定义频次防护策略（设置CC安全防护），来提升防护效果。