EIP 默认提供不超过 5Gbps 的DDoS 基础防护能力,当流量超过基础防护能力时,流量将会被黑洞处理,即所有入流量全部被屏蔽,可能导致服务完全中断。使用 DDoS 防护(增强版)EIP,可获得 Tbps 级的防护能力,保障业务连续性。
工作原理
DDoS 防护(增强版)EIP 使用DDoS 原生防护,具备 Tbps 级的 DDoS 防护能力,适用于大型游戏、重大线上直播等对安全防护级别要求较高且时延较敏感的场景。
入方向:先经过 DDoS 原生防护检测并清洗,过滤攻击流量后,将正常流量转发至实例。
出方向:直接通过 EIP 访问公网。
适用范围
线路类型:BGP(多线)。
计费方式:按量付费。
通过IP地址池创建DDoS防护(增强版)EIP时,IP地址池也需要是 DDoS 防护(增强版)。
支持的地域:
EIP
亚太-中国:华北2(北京)、华东1(杭州)、华东2(上海)、中国香港
亚太-其他:菲律宾(马尼拉)、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、韩国(首尔)、泰国(曼谷)
其他:美国(弗吉尼亚)、美国(硅谷)、德国(法兰克福)、英国(伦敦)、墨西哥
IP地址池
亚太-中国:中国香港
亚太-其他:菲律宾(马尼拉)、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、韩国(首尔)、泰国(曼谷)
其他:美国(弗吉尼亚)、美国(硅谷)、德国(法兰克福)、英国(伦敦)、墨西哥
开启 DDoS 防护(增强版)
确保已开通 DDoS原生防护(按量付费版)。开通服务并添加防护资产后,阿里云即认为您正式使用产品并开始计费。该服务是按月开通产品,30天内不支持停用。
控制台
付费模式:按量付费。
线路类型:BGP(多线)。
安全防护:DDoS防护(增强版)。
地址池:
保持默认:从阿里云公共 IP 地址池分配 DDoS 防护(增强版)EIP。
指定 IP 地址池:必须指定 DDoS 防护(增强版)IP 地址池,从中分配 EIP。
创建完成后,可以登录弹性公网IP管理控制台,单击目标 EIP 安全防护列的
图标,查看 DDoS 安全防护的清洗阈值和黑洞阈值。
T日创建完成后,可在 T+1 日前往流量安全产品控制台,在页面查询用量明细。单击详细说明,可以申请调整访问峰值带宽。
API
调用AllocateEipAddress配置SecurityProtectionTypes为AntiDDoS_Enhanced,创建 DDoS 防护(增强版)EIP。
计费说明
仅按量付费的 EIP 支持 DDoS 防护(增强版)安全防护级别,计费项包括:
公网 IP 保有费和公网网络费:EIP 收取;
DDoS 原生防护 2.0 费用:DDoS 防护收取。DDoS 防护(增强版)EIP 属于增强型云产品。
更多信息
DDoS 基础防护
EIP 默认具备不超过 5Gbps 的 DDoS 基础防护能力。公网入方向流量首先经过阿里云 DDoS 基础防护,经检测符合 DDoS 攻击模型,且超过清洗阈值时,DDoS 基础防护将启动流量清洗,过滤恶意报文,将正常流量转发至 EIP。
流量清洗:
清洗方法:过滤攻击报文、限制流量速度、限制数据包速度等。
清洗触发:流量符合攻击模型特征,且流量达到 BPS(流量速率) 清洗阈值或 PPS (数据包速率)清洗阈值。DDoS 基础防护根据 EIP 带宽自动设定清洗阈值。
BPS 清洗阈值:当 EIP 带宽 ≤ 300Mbps 时,为 450Mbps;EIP 带宽 > 300Mbps 时,为
EIP 带宽值 × 1.5Mbps。PPS 清洗阈值:当 EIP 带宽 ≤ 100Mbps 时,为 100000pps;EIP 带宽 > 100Mbps 时,为
EIP 带宽值 × 1000pps。
黑洞策略:当 DDoS 攻击流量超过 EIP 的黑洞阈值(即 5Gbps 的 DDoS 基础防护能力,具体为 5200Mbps)时,为避免对云产品产生更大损害,阿里云会执行黑洞策略,屏蔽 EIP 所有入方向流量,这将导致服务完全中断。默认黑洞自动解除时间是2.5小时。实际根据资产被攻击频率有差异。