阿里云为每个公网IP默认提供免费版DDoS防御功能,可以应对低频、小规模DDoS攻击。对于有大流量诉求、高级安全特性、低延迟高稳定通信等需求,建议购买DDoS原生防护或DDoS高防,并配置防护对象和防护策略。
安全风险
分布式拒绝服务(DDoS)攻击是当前互联网面临的最主要的安全威胁之一。攻击者通过控制大量“僵尸”主机,向单一目标(例如您的网站服务器或应用API)同时发起海量看似合法的访问请求。这些请求会瞬间耗尽您服务器的带宽、CPU、内存或连接数等系统资源,导致服务器响应缓慢甚至完全瘫痪,从而使正常用户无法访问,对您的业务造成直接的经济损失和品牌声誉损害。电子商务、在线游戏、金融支付等业务是DDoS攻击的重灾区,尤其在促销或重大活动期间,攻击风险更高。
阿里云为每个公网IP免费提供了基础的DDoS防护,默认防御能力最高不超过5Gbps。这是平台默认提供一层基础保障。存在一些局限性:
防护阈值有限:在当今动辄数十甚至上百Gbps的攻击流量面前,5Gbps的防护上限极易被突破。一旦攻击流量超过此阈值,为了保护阿里云的区域网络稳定,系统将触发“黑洞”机制,即将您服务器的所有公网流量(包括正常访问流量和攻击流量)全部丢弃,导致您的业务完全中断。
防护类型单一:免费版主要针对网络层和传输层的常见攻击(如UDP反射、SYN Flood)进行清洗,但对于应用层攻击(如HTTP Flood,即CC攻击)无能为力。CC攻击模仿真实用户行为,消耗的是服务器的CPU和内存资源,危害性极大。
缺乏精细化策略:免费版采用平台自动化的“一刀切”策略,您无法根据业务特性进行自定义防护配置,也无法获得详细的攻击报表和分析。
最佳实践
收敛公网暴露
使用公网IP和在公网暴露服务是遭受DDoS攻击的前提,如果业务仅供内部使用或对特定用户的网络提供服务,应避免公网暴露。更多信息,请参见收敛ECS实例的公网暴露风险、通过内网或专线访问云上服务、使用PrivateLink减少非必要的公网通信。
使用免费版DDoS防护
无需购买和配置,即可享用每个公网IP 500Mbps~5Gbps流量限额的基础DDoS流量清洗服务。当攻击流量小于流量限额将智能清洗流量,过滤掉攻击流量,放通正常访问流量。免费版DDoS防护仅能提供少数网络层和传输层攻击类型的清洗,如UDP反射攻击、SYN Flood、ACK Flood攻击,对于应用层攻击(如CC攻击),免费版没有清洗能力。此外当超过限额时会触发黑洞机制 ,受攻击IP的流量会暂时都被丢弃掉。免费版适合防御低频次、小规模的网络层和传输层DDoS攻击。
使用收费版DDoS防护
免费版DDoS防护能力有限,当单IP攻击流量超过5Gbps就会将受攻击IP黑洞掉,此时您在该IP上的业务也会中断,并且也不能防护应用层攻击。如您遭受大流量攻击、应用层攻击,或希望有效果更好的高级防护策略,应选择收费版DDoS防护。
DDoS原生防护:它与您的ECS、SLB等云产品原生集成,无需更改IP或DNS。当攻击发生时,流量会在阿里云的骨干网络中被自动牵引至专业的清洗中心进行处理,过滤掉攻击流量后,再将干净的业务流量转发给您的服务器。其优势在于部署透明、延迟极低,并能提供高达数百Gbps乃至Tbps级别的防护能力和精细化的CC攻击防护策略。如需开通,请参见购买DDoS原生防护实例。
DDoS高防:它通过DNS重定向或IP指向的方式,将业务流量首先引导至全球分布的高防节点。这些节点具备超大带宽和强大的清洗能力,能有效抵御超大规模的DDoS攻击。清洗后的干净流量再被安全地转回您的源站服务器(无论源站是否在阿里云)。这尤其适合需要隐藏源站IP的场景。如需开通,请参见购买DDoS高防实例。
查看攻击态势
公网IP遭到DDoS攻击的可能性很高(阿里云每天处理超过10万次的DDoS攻击)。如果您在开通服务时并没有想到DDoS的攻击威胁和相关加固,当您发现自己的网络服务不可访问、严重超时、服务能力严重下降时,可以前往流量安全-总览查看现在和历史的攻击情况。
设置DDoS攻击告警
当您的IP遭到DDoS攻击时,默认不会收到通知。需要参考云监控告警(DDos原生防护)、云监控告警(DDos高防)设置告警规则:
流量告警:您在云监控中为IP设置入方向和出方向的流量阈值,当流量超过该阈值时发送告警通知。因为DDoS攻击往往使用显著超过正常访问流量的攻击流量实施攻击。
事件告警:您在云监控中订阅DDoS黑洞事件告警和清洗事件告警。当DDoS防护触发相应动作时,会通过云监控告警渠道发送通知。