如何选择DDoS防护产品

阿里云基于多年的DDoS攻防经验和安全技术,提供多款正式商用的DDoS防护解决方案供您选择,满足业务中对各类DDoS攻击进行安全防护的需求。本文介绍如何选择合适的DDoS防护解决方案。

视频指导

DDoS防护解决方案

阿里云提供的DDoS防护解决方案包括免费的DDoS基础防护和以下收费服务:DDoS原生防护、DDoS高防,下表描述了不同方案的具体说明。选择防护解决方案前,请您先了解各产品:什么是DDoS原生防护什么是DDoS高防

说明

如果需要定制专属的安全解决方案(如超大规格、应用层UDP防护等),可以通过电话咨询阿里云安全架构师。详细内容,请参见联系我们

产品架构

DDoS基础防护

DDoS原生防护

DDoS高防

防护标准型云产品

防护增强型云产品

方案简介

基于阿里云原生防护网络,不改变源站服务器IP地址,抵御网络层、传输层DDoS攻击。

说明

DDoS原生防护增强型目前仅支持EIP。与标准型不同,增强型为您购买云产品时DDoS防护策略选择增强型,而非您购买云产品后,再购买DDoS原生防护实例。

通过DNS解析方式牵引流量到阿里云全球DDoS清洗中心,抵御网络层、传输层、应用层DDoS攻击,隐藏被保护的源站服务器。

防护能力

低,基于阿里云上防御能力,500 Mbps~5 Gbps。

详细内容,请参见DDoS基础防护黑洞阈值

较高,基于阿里云上防御能力,最高可达几百Gbps。

详细内容,请参见什么是DDoS原生防护

高,基于阿里云全球DDoS清洗中心能力,最高可达Tbps以上。

高,基于阿里云全球DDoS清洗中心能力,最高可达Tbps以上。

防护对象

部分阿里云产品。

包含ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA

部分阿里云产品。

包含ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA

部分阿里云产品。目前仅支持DDoS防护增强型EIP。

任意公网IP。

适用场景

购买相应云产品后,默认开启。

  • IP/端口数量多。

  • 业务带宽大,且不能改变对外IP。例如,业务带宽大于1 Gbps,HTTP和HTTPS业务QPS大于5,000。

  • 需要极低延迟,保障大流量攻击时业务连续性。

  • 偶尔遭受DDoS攻击。

  • IP/端口数量多。

  • 业务带宽大,且不能改变对外IP。例如,业务带宽大于1 Gbps,HTTP和HTTPS业务QPS大于5,000。

  • 需要较低延迟,保障大流量攻击时业务连续性。

  • 资产需要Tbps级别的DDoS防护能力。

  • 偶尔遭受DDoS攻击。

  • 遭受攻击较多且攻防对抗激烈。

  • 需要防御精细化应用层CC攻击。

  • 需要改变业务对外IP。

说明

免费。

后付费购买模式,详细信息,请参见原生防护2.0(后付费)

版本选择指导:

适合防御的DDoS攻击类型

下表中使用的符号说明如下:

  • √:表示支持防御

  • ×:表示不支持防御

攻击类型

攻击子类

DDoS原生防护

DDoS高防

防护标准型云产品

防护增强型云产品

网络层DDoS攻击

主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。

传输层DDoS攻击

主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。

应用层DDoS攻击(HTTP/HTTPS)

也称Web类应用层CC攻击,主要包括HTTP/HTTPS CC、HTTP慢速攻击(Loic/Hoic/Slowloris/Pyloris/Xoic)等针对HTTP业务的CC攻击,例如网站、API接口、WebSocket等业务。

×

×

应用层DDoS攻击(非HTTP/HTTPS的TCP应用层协议)

也称非Web类应用层CC攻击,主要包括TCP CC、TCP空连接、TCP连接资源消耗攻击等针对非HTTP业务的基于TCP应用层的CC攻击,例如私有协议、MySQL、MQTT、RTMP等业务。

×

公测中,当前仅支持杭州地域,请通过售前在线咨询联系商务经理申请。

应用层DDoS攻击(基于UDP的应用层协议)

UDP-CC、NS服务的DNS-Flood等针对UDP业务的CC攻击,例如NS服务、UDP游戏业务、UDP语音通话等业务。

说明

UDP业务CC防护需要额外购买安全管家,否则不支持。

支持非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全

支持非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全

支持非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全

防护效果说明

由于各类DDoS攻击不断更新,不同的DDoS防护解决方案的防护组件、架构、防护能力等不完全一致,且DDoS攻击场景下有很多业务因素可能会影响DDoS防护的最终效果,我们建议您关注下述可能影响防护效果的场景和业务因素,并按照技术专家积累的攻防对抗经验提升防护能力。

针对接入后的正常业务流量,DDoS防护解决方案的智能AI防护会有正常业务流量特征的学习时间,如您刚接入业务就遭受DDoS攻击或CC攻击,首次攻击可能存在瞬时的攻击透传,建议您尽可能的提升源站负载能力,并按照如下建议进行配置:

  • DDoS原生防护

    • 业务接入后使用默认规则为您防护,在防护过程中针对实时变化的攻击特征自动补充防护能力,同时会针对性下发智能AI防护策略,在策略生效前可能存在瞬时的攻击透传,建议您提前自定义串行防护、端口防护、触发防护等各类防护策略,提升防护效果。具体操作,请参见防护配置(旧)

    • 攻击流量未超过默认清洗阈值会导致攻击透传,尤其是EIP绑定带宽包的情况下可能存在默认清洗阈值较大的情况出现,建议您根据正常业务流量大小调整合适的清洗阈值。具体操作,请参见设置流量清洗阈值

  • DDoS高防

    建议您通过配置合适的业务场景策略(定制场景策略),或者根据结合业务特点自定义频次防护策略(设置CC安全防护),来提升防护效果。