DDoS基础防护

DDoS攻击是一种针对目标系统的恶意网络攻击行为,会导致被攻击者的业务无法正常访问。阿里云默认为全球加速实例的加速IP和终端节点出公网IP免费开启DDoS基础防护,有效防止业务受到恶意攻击,提高全球加速实例的防御能力和安全。

DDoS基础防护工作原理

防护能力

全球加速实例的加速IP和终端节点出公网IP默认开启DDoS基础防护能力,提供不超过5 Gbps的基础DDoS防护能力。不同地域支持的最大免费防护流量不同:

  • DDoS基础防护各个地域默认初始黑洞触发阈值,请参见DDoS基础防护黑洞阈值

  • 全球加速实例的实际黑洞阈值与地域及带宽配置有关,请以资产中心页面显示为准。

防护原理

所有来自互联网的流量都要先经过DDoS防护网络再到达全球加速实例,DDoS防护网络会实时监控进入全球加速实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,DDoS基础防护会将可疑流量从原始网络路径中重定向到清洗设备上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标全球加速实例。这一过程,就是流量清洗。更多信息,请参见什么是DDoS原生防护

说明

当来自互联网的流量大于DDoS防护能力时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被屏蔽。更多信息,请参见阿里云黑洞策略

流量清洗的触发条件包括:

  • 流量模型的特征。当流量符合攻击流量模型特征时,将触发流量清洗。

  • 流量大小。DDoS基础防护根据全球加速实例的加速IP和终端节点出公网IP的带宽自动设定清洗阈值,当流量达到设置的阈值时,无论是否为正常业务流量,DDoS基础防护都会启动流量清洗。

流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。DDoS基础防护涉及以下清洗阈值:

  • BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。

  • PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。

清洗阈值

全球加速实例的加速IP和终端节点出公网IP清洗阈值计算方式如下表所示:

表 1. 最大BPS清洗阈值

IP带宽(单位:Mbps)

最大BPS清洗阈值(单位:Mbps)

≤300

450

>300

加速IP带宽值×1.5

表 2. 最大PPS清洗阈值

IP带宽(单位:Mbps)

最大PPS清洗阈值(单位:pps)

≤100

10万

>100

加速IP带宽值×1000

其中,IP带宽的计算方式如下:

  • 加速IP的IP带宽:为所属加速地域分配的带宽值。

  • 终端节点组出公网IP的带宽值与全球加速实例付费模式和带宽计费方式有关。

    付费模式

    带宽计费方式

    IP带宽

    包年包月

    按流量计费(CDT统一结算)

    终端节点组出公网IP带宽值=全球加速实例规格的最大带宽处理能力

    按带宽计费(绑定基础带宽包)

    终端节点组出公网IP带宽值=基础带宽包的带宽峰值

    按量付费

    按流量计费(CDT统一结算)

    1200 Mbps

例如,某个标准型全球加速实例加速IP所属加速地域分配带宽为100 Mbps,绑定基础带宽包带宽峰值为200 Mbps。则:

  • 加速IP防护阈值:最大BPS清洗阈值为450 Mbps,最大PPS清洗阈值为10万。

  • 终端节点组出公网IP防护阈值:最大BPS清洗阈值为450 Mbps,最大PPS清洗阈值为20万。

查看全球加速的防护阈值

  1. 登录全球加速管理控制台
  2. 实例列表页面,单击实例ID。

    说明

    如果您需要查看基础型全球加速实例的防护阈值,还需要在全球加速实例控制台左侧导航栏,选择基础型实例进入基础型全球加速的实例列表页面。

  3. 根据需求选择查看全球加速实例的加速IP或终端节点出公网IP防护阈值。

    说明

    DDoS防护状态包括:防护中清洗中黑洞中。DDoS防护图标根据DDoS防护状态不同,显示颜色不同,具体信息,可在气泡中查看。

    查看加速IP防护阈值

    在实例详情页,单击加速区域页签,找到目标加速IP,在加速 IP安全防护列,将鼠标移至DDoS防护图标,在弹出的气泡中,查看加速IP的BPS清洗阈值、PPS清洗阈值、黑洞阈值。

    查看终端节点组出公网IP防护阈值

    仅标准型全球加速实例涉及终端节点组出公网IP防护阈值。

    1. 在实例详情页,单击监听页签,然后单击目标终端节点出公网IP所在监听ID。

    2. 在监听详情页,单击终端节点组页签,找到目标终端节点出公网IP,将鼠标移至DDoS防护图标,在弹出的气泡中,查看终端节点组出公网IP的BPS清洗阈值、PPS清洗阈值、黑洞阈值。

相关操作

  • 设置清洗阈值全球加速默认按IP带宽最大阈值执行DDoS基础防护。但是,部分IP带宽的最大清洗阈值(BPS)可能过大,无法起到应有的防护作用,所以,您需要根据实际情况调整清洗阈值,具体操作,请参见设置流量清洗阈值

  • 购买其他DDoS防护服务:DDoS基础防护仅提供基础安全防护,如果您有更高地安全防护需求,可以选择购买DDoS原生防护企业版或DDoS高防。具体操作,请参见购买DDoS原生防护企业版实例购买DDoS高防实例