如何選擇DDoS防護產(chǎn)品
阿里云基于多年的DDoS攻防經(jīng)驗和安全技術(shù),提供多款正式商用的DDoS防護解決方案供您選擇,滿足業(yè)務(wù)中對各類DDoS攻擊進行安全防護的需求。本文介紹如何選擇合適的DDoS防護解決方案。
視頻指導(dǎo)
DDoS防護解決方案
阿里云提供的DDoS防護解決方案包括免費的DDoS基礎(chǔ)防護和以下收費服務(wù):DDoS原生防護、DDoS高防,下表描述了不同方案的具體說明。選擇防護解決方案前,請您先了解各產(chǎn)品:什么是DDoS原生防護、什么是DDoS高防。
如果需要定制專屬的安全解決方案(如超大規(guī)格、應(yīng)用層UDP防護等),可以通過電話咨詢阿里云安全架構(gòu)師。詳細內(nèi)容,請參見聯(lián)系我們。
產(chǎn)品架構(gòu) | DDoS基礎(chǔ)防護 | DDoS原生防護 | DDoS高防 | |
防護標(biāo)準(zhǔn)型云產(chǎn)品 | 防護增強型云產(chǎn)品 | |||
方案簡介 | 基于阿里云原生防護網(wǎng)絡(luò),不改變源站服務(wù)器IP地址,抵御網(wǎng)絡(luò)層、傳輸層DDoS攻擊。 說明 DDoS原生防護增強型目前僅支持EIP。與標(biāo)準(zhǔn)型不同,增強型為您購買云產(chǎn)品時DDoS防護策略選擇增強型,而非您購買云產(chǎn)品后,再購買DDoS原生防護實例。 | 通過DNS解析方式牽引流量到阿里云全球DDoS清洗中心,抵御網(wǎng)絡(luò)層、傳輸層、應(yīng)用層DDoS攻擊,隱藏被保護的源站服務(wù)器。 | ||
防護能力 | 低,基于阿里云上防御能力,500 Mbps~5 Gbps。 詳細內(nèi)容,請參見DDoS基礎(chǔ)防護黑洞閾值。 | 較高,基于阿里云上防御能力,最高可達幾百Gbps。 詳細內(nèi)容,請參見什么是DDoS原生防護。 | 高,基于阿里云全球DDoS清洗中心能力,最高可達Tbps以上。 | 高,基于阿里云全球DDoS清洗中心能力,最高可達Tbps以上。 |
防護對象 | 部分阿里云產(chǎn)品。 包含ECS、SLB、EIP(包含綁定NAT網(wǎng)關(guān)的EIP)、IPv6網(wǎng)關(guān)、輕量服務(wù)器、WAF、GA。 | 部分阿里云產(chǎn)品。 包含ECS、SLB、EIP(包含綁定NAT網(wǎng)關(guān)的EIP)、IPv6網(wǎng)關(guān)、輕量服務(wù)器、WAF、GA。 | 部分阿里云產(chǎn)品。目前僅支持DDoS防護增強型EIP。 | 任意公網(wǎng)IP。 |
適用場景 | 購買相應(yīng)云產(chǎn)品后,默認開啟。 |
|
|
|
說明 | 免費。 |
| 后付費購買模式,詳細信息,請參見原生防護2.0(后付費)。 | 版本選擇指導(dǎo):
|
適合防御的DDoS攻擊類型
下表中使用的符號說明如下:
√:表示支持防御
×:表示不支持防御
攻擊類型 | 攻擊子類 | DDoS原生防護 | DDoS高防 | |
防護標(biāo)準(zhǔn)型云產(chǎn)品 | 防護增強型云產(chǎn)品 | |||
網(wǎng)絡(luò)層DDoS攻擊 | 主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。 | √ | √ | √ |
傳輸層DDoS攻擊 | 主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。 | √ | √ | √ |
應(yīng)用層DDoS攻擊(HTTP/HTTPS) | 也稱Web類應(yīng)用層CC攻擊,主要包括HTTP/HTTPS CC、HTTP慢速攻擊(Loic/Hoic/Slowloris/Pyloris/Xoic)等針對HTTP業(yè)務(wù)的CC攻擊,例如網(wǎng)站、API接口、WebSocket等業(yè)務(wù)。 | × | × | √ |
應(yīng)用層DDoS攻擊(非HTTP/HTTPS的TCP應(yīng)用層協(xié)議) | 也稱非Web類應(yīng)用層CC攻擊,主要包括TCP CC、TCP空連接、TCP連接資源消耗攻擊等針對非HTTP業(yè)務(wù)的基于TCP應(yīng)用層的CC攻擊,例如私有協(xié)議、MySQL、MQTT、RTMP等業(yè)務(wù)。 | × | √ 公測中,當(dāng)前僅支持杭州地域,請通過售前在線咨詢聯(lián)系商務(wù)經(jīng)理申請。 | √ |
應(yīng)用層DDoS攻擊(基于UDP的應(yīng)用層協(xié)議) | UDP-CC、NS服務(wù)的DNS-Flood等針對UDP業(yè)務(wù)的CC攻擊,例如NS服務(wù)、UDP游戲業(yè)務(wù)、UDP語音通話等業(yè)務(wù)。 說明 UDP業(yè)務(wù)CC防護需要額外購買安全管家,否則不支持。 | √ 支持非NS服務(wù)的DNS攻擊進行清洗。如需保護NS服務(wù),請使用DNS安全。 | √ 支持非NS服務(wù)的DNS攻擊進行清洗。如需保護NS服務(wù),請使用DNS安全。 | √ 支持非NS服務(wù)的DNS攻擊進行清洗。如需保護NS服務(wù),請使用DNS安全。 |
防護效果說明
由于各類DDoS攻擊不斷更新,不同的DDoS防護解決方案的防護組件、架構(gòu)、防護能力等不完全一致,且DDoS攻擊場景下有很多業(yè)務(wù)因素可能會影響DDoS防護的最終效果,我們建議您關(guān)注下述可能影響防護效果的場景和業(yè)務(wù)因素,并按照技術(shù)專家積累的攻防對抗經(jīng)驗提升防護能力。
針對接入后的正常業(yè)務(wù)流量,DDoS防護解決方案的智能AI防護會有正常業(yè)務(wù)流量特征的學(xué)習(xí)時間,如您剛接入業(yè)務(wù)就遭受DDoS攻擊或CC攻擊,首次攻擊可能存在瞬時的攻擊透傳,建議您盡可能的提升源站負載能力,并按照如下建議進行配置:
業(yè)務(wù)接入后使用默認規(guī)則為您防護,在防護過程中針對實時變化的攻擊特征自動補充防護能力,同時會針對性下發(fā)智能AI防護策略,在策略生效前可能存在瞬時的攻擊透傳,建議您提前自定義串行防護、端口防護、觸發(fā)防護等各類防護策略,提升防護效果。具體操作,請參見防護配置(舊)。
攻擊流量未超過默認清洗閾值會導(dǎo)致攻擊透傳,尤其是EIP綁定帶寬包的情況下可能存在默認清洗閾值較大的情況出現(xiàn),建議您根據(jù)正常業(yè)務(wù)流量大小調(diào)整合適的清洗閾值。具體操作,請參見設(shè)置流量清洗閾值。
建議您通過配置合適的業(yè)務(wù)場景策略(定制場景策略),或者根據(jù)結(jié)合業(yè)務(wù)特點自定義頻次防護策略(設(shè)置CC安全防護),來提升防護效果。