文档

DDoS基础防护

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

阿里云默认为轻量应用服务器免费开通DDoS原生防护基础版服务(也称基础防护),有效防止实例受到恶意攻击,提高轻量应用服务器的防御能力和安全。

背景信息

阿里云DDoS基础防护默认为轻量应用服务器实例免费提供不超过5 Gbps的DDoS攻击防御能力,您可以登录DDoS防护管理控制台查看实际防护阈值。更多信息,请参见DDoS基础防护黑洞阈值

DDoS基础防护可满足较低的安全需求,如果您对安全防护有较高的需求,您可以根据实际业务场景和安全需求开通(以下服务均收费)DDoS基础防护企业版DDoS高防(新BGP、国际)游戏盾,来提供全力防护能力。更多信息,请参见DDoS概述

关于DDoS收费服务的计费说明,请参见DDoS产品计费

DDoS基础防护工作原理

DDoS基础防护为轻量应用服务器提升DDoS攻击防御能力,当流量超出DDoS基础防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。更多信息,请参见什么是DDoS原生防护

说明

轻量应用服务器遭受大流量DDoS攻击,且攻击流量的带宽阈值(BPS)超过了其DDoS防御能力时,为避免更大损害,轻量应用服务器的公网IP地址会进入黑洞状态,阿里云黑洞策略会暂时屏蔽轻量应用服务器的互联网入方向流量。更多信息,请参见阿里云黑洞策略

DDoS基础防护在清洗判定中采用了AI智能分析的方法,您可以根据正常业务流量基线,设置一个清洗阈值。DDoS基础防护能够基于阿里云的大数据能力,自学习您的业务流量基线,并结合算法识别异常攻击。

只有当AI智能分析检测到DDoS攻击且请求流量达到您设置的清洗阈值时,DDoS防护才会触发流量清洗,避免了使用固定阈值可能导致的误清洗。例如:正常业务上涨波动超出固定清洗阈值,引起误清洗。

流量清洗的触发条件包括:

  • 流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。

  • 流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入轻量应用服务器实例的流量达到设置的阈值时,无论是否为正常业务流量,DDoS防护都会启动流量清洗。

流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以在使用DDoS基础防护时,您需要设置以下阈值:

  • 攻击流量的带宽阈值(BPS):当入方向流量超过BPS清洗阈值时,会触发流量清洗。

  • 攻击报文的包转发率阈值(PPS):当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。

查看DDoS防护信息

  1. 登录轻量应用服务器管理控制台

  2. 在左侧导航栏,单击服务器

  3. 单击目标服务器卡片中的实例ID,进入服务器概览页面。

    如果服务器较多,可在搜索文本框中,输入公网IP地址或者实例ID筛选服务器。

  4. 基本信息区域中的DDoS攻击状态后,单击更多信息,进入DDoS控制台。

  5. 您可以在DDoS控制台的资产中心页面,查看当前地域下所有轻量应用服务器的DDoS防护信息,包括状态防护能力清洗阈值。具体操作,请参见资产中心

    image.png

相关操作

创建轻量应用服务器后,您可以根据实际安全需求执行以下操作:

相关操作

说明

设置清洗阈值

轻量应用服务器创建后,默认按最大清洗阈值执行DDoS基础防护。但是最大清洗阈值(BPS)过大,可能无法起到应有的防护作用,所以您需要根据实际情况调整清洗阈值。具体操作,请参见DDoS基础防护设置

说明

清洗阈值手动设置建议如下:

  • 清洗阈值需要略高于实际访问值。阈值如果设置过高,起不到防御效果;如果设置过低,DDoS基础防护触发流量清洗可能会影响正常的访问。

  • 如果清洗影响了正常的请求,请适当调高清洗阈值。

  • 网站进行推广或促销活动时,建议您适当调高清洗阈值。

取消流量清洗

当流量达到清洗阈值时,无论是否为正常业务流量,DDoS都会启动流量清洗,此时,可能会导致正常业务不可用或受影响。为了保证正常业务,您可以手动取消流量清洗。具体操作,请参见如何取消流量清洗

警告

取消流量清洗后,当流入轻量应用服务器实例的流量超过对应的黑洞阈值时,您的轻量应用服务器实例的公网IP地址会进入黑洞,阿里云黑洞策略会暂时屏蔽轻量应用服务器的互联网入方向流量,请谨慎操作。更多信息,请参见阿里云黑洞策略

  • 本页导读 (1)