如何選擇DDoS防護(hù)產(chǎn)品
阿里云基于多年的DDoS攻防經(jīng)驗(yàn)和安全技術(shù),提供多款正式商用的DDoS防護(hù)解決方案供您選擇,滿足業(yè)務(wù)中對(duì)各類DDoS攻擊進(jìn)行安全防護(hù)的需求。本文介紹如何選擇合適的DDoS防護(hù)解決方案。
視頻指導(dǎo)
DDoS防護(hù)解決方案
阿里云提供的DDoS防護(hù)解決方案包括免費(fèi)的DDoS基礎(chǔ)防護(hù)和以下收費(fèi)服務(wù):DDoS原生防護(hù)、DDoS高防,下表描述了不同方案的具體說(shuō)明。選擇防護(hù)解決方案前,請(qǐng)您先了解各產(chǎn)品:什么是DDoS原生防護(hù)、什么是DDoS高防。
如果需要定制專屬的安全解決方案(如超大規(guī)格、應(yīng)用層UDP防護(hù)等),可以通過(guò)電話咨詢阿里云安全架構(gòu)師。詳細(xì)內(nèi)容,請(qǐng)參見(jiàn)聯(lián)系我們。
產(chǎn)品架構(gòu) | DDoS基礎(chǔ)防護(hù) | DDoS原生防護(hù) | DDoS高防 | |
防護(hù)標(biāo)準(zhǔn)型云產(chǎn)品 | 防護(hù)增強(qiáng)型云產(chǎn)品 | |||
方案簡(jiǎn)介 | 基于阿里云原生防護(hù)網(wǎng)絡(luò),不改變?cè)凑痉?wù)器IP地址,抵御網(wǎng)絡(luò)層、傳輸層DDoS攻擊。 說(shuō)明 DDoS原生防護(hù)增強(qiáng)型目前僅支持EIP。與標(biāo)準(zhǔn)型不同,增強(qiáng)型為您購(gòu)買云產(chǎn)品時(shí)DDoS防護(hù)策略選擇增強(qiáng)型,而非您購(gòu)買云產(chǎn)品后,再購(gòu)買DDoS原生防護(hù)實(shí)例。 | 通過(guò)DNS解析方式牽引流量到阿里云全球DDoS清洗中心,抵御網(wǎng)絡(luò)層、傳輸層、應(yīng)用層DDoS攻擊,隱藏被保護(hù)的源站服務(wù)器。 | ||
防護(hù)能力 | 低,基于阿里云上防御能力,500 Mbps~5 Gbps。 詳細(xì)內(nèi)容,請(qǐng)參見(jiàn)DDoS基礎(chǔ)防護(hù)黑洞閾值。 | 較高,基于阿里云上防御能力,最高可達(dá)幾百Gbps。 詳細(xì)內(nèi)容,請(qǐng)參見(jiàn)什么是DDoS原生防護(hù)。 | 高,基于阿里云全球DDoS清洗中心能力,最高可達(dá)Tbps以上。 | 高,基于阿里云全球DDoS清洗中心能力,最高可達(dá)Tbps以上。 |
防護(hù)對(duì)象 | 部分阿里云產(chǎn)品。 包含ECS、SLB、EIP(包含綁定NAT網(wǎng)關(guān)的EIP)、IPv6網(wǎng)關(guān)、輕量服務(wù)器、WAF、GA。 | 部分阿里云產(chǎn)品。 包含ECS、SLB、EIP(包含綁定NAT網(wǎng)關(guān)的EIP)、IPv6網(wǎng)關(guān)、輕量服務(wù)器、WAF、GA。 | 部分阿里云產(chǎn)品。目前僅支持DDoS防護(hù)增強(qiáng)型EIP。 | 任意公網(wǎng)IP。 |
適用場(chǎng)景 | 購(gòu)買相應(yīng)云產(chǎn)品后,默認(rèn)開(kāi)啟。 |
|
|
|
說(shuō)明 | 免費(fèi)。 |
| 后付費(fèi)購(gòu)買模式,詳細(xì)信息,請(qǐng)參見(jiàn)原生防護(hù)2.0(后付費(fèi))。 | 版本選擇指導(dǎo):
|
適合防御的DDoS攻擊類型
下表中使用的符號(hào)說(shuō)明如下:
√:表示支持防御
×:表示不支持防御
攻擊類型 | 攻擊子類 | DDoS原生防護(hù) | DDoS高防 | |
防護(hù)標(biāo)準(zhǔn)型云產(chǎn)品 | 防護(hù)增強(qiáng)型云產(chǎn)品 | |||
網(wǎng)絡(luò)層DDoS攻擊 | 主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報(bào)文、TCP畸形報(bào)文、UDP畸形報(bào)文等。 | √ | √ | √ |
傳輸層DDoS攻擊 | 主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。 | √ | √ | √ |
應(yīng)用層DDoS攻擊(HTTP/HTTPS) | 也稱Web類應(yīng)用層CC攻擊,主要包括HTTP/HTTPS CC、HTTP慢速攻擊(Loic/Hoic/Slowloris/Pyloris/Xoic)等針對(duì)HTTP業(yè)務(wù)的CC攻擊,例如網(wǎng)站、API接口、WebSocket等業(yè)務(wù)。 | × | × | √ |
應(yīng)用層DDoS攻擊(非HTTP/HTTPS的TCP應(yīng)用層協(xié)議) | 也稱非Web類應(yīng)用層CC攻擊,主要包括TCP CC、TCP空連接、TCP連接資源消耗攻擊等針對(duì)非HTTP業(yè)務(wù)的基于TCP應(yīng)用層的CC攻擊,例如私有協(xié)議、MySQL、MQTT、RTMP等業(yè)務(wù)。 | × | √ 公測(cè)中,當(dāng)前僅支持杭州地域,請(qǐng)通過(guò)售前在線咨詢聯(lián)系商務(wù)經(jīng)理申請(qǐng)。 | √ |
應(yīng)用層DDoS攻擊(基于UDP的應(yīng)用層協(xié)議) | UDP-CC、NS服務(wù)的DNS-Flood等針對(duì)UDP業(yè)務(wù)的CC攻擊,例如NS服務(wù)、UDP游戲業(yè)務(wù)、UDP語(yǔ)音通話等業(yè)務(wù)。 說(shuō)明 UDP業(yè)務(wù)CC防護(hù)需要額外購(gòu)買安全管家,否則不支持。 | √ 支持非NS服務(wù)的DNS攻擊進(jìn)行清洗。如需保護(hù)NS服務(wù),請(qǐng)使用DNS安全。 | √ 支持非NS服務(wù)的DNS攻擊進(jìn)行清洗。如需保護(hù)NS服務(wù),請(qǐng)使用DNS安全。 | √ 支持非NS服務(wù)的DNS攻擊進(jìn)行清洗。如需保護(hù)NS服務(wù),請(qǐng)使用DNS安全。 |
防護(hù)效果說(shuō)明
由于各類DDoS攻擊不斷更新,不同的DDoS防護(hù)解決方案的防護(hù)組件、架構(gòu)、防護(hù)能力等不完全一致,且DDoS攻擊場(chǎng)景下有很多業(yè)務(wù)因素可能會(huì)影響DDoS防護(hù)的最終效果,我們建議您關(guān)注下述可能影響防護(hù)效果的場(chǎng)景和業(yè)務(wù)因素,并按照技術(shù)專家積累的攻防對(duì)抗經(jīng)驗(yàn)提升防護(hù)能力。
針對(duì)接入后的正常業(yè)務(wù)流量,DDoS防護(hù)解決方案的智能AI防護(hù)會(huì)有正常業(yè)務(wù)流量特征的學(xué)習(xí)時(shí)間,如您剛接入業(yè)務(wù)就遭受DDoS攻擊或CC攻擊,首次攻擊可能存在瞬時(shí)的攻擊透?jìng)鳎ㄗh您盡可能的提升源站負(fù)載能力,并按照如下建議進(jìn)行配置:
業(yè)務(wù)接入后使用默認(rèn)規(guī)則為您防護(hù),在防護(hù)過(guò)程中針對(duì)實(shí)時(shí)變化的攻擊特征自動(dòng)補(bǔ)充防護(hù)能力,同時(shí)會(huì)針對(duì)性下發(fā)智能AI防護(hù)策略,在策略生效前可能存在瞬時(shí)的攻擊透?jìng)鳎ㄗh您提前自定義串行防護(hù)、端口防護(hù)、觸發(fā)防護(hù)等各類防護(hù)策略,提升防護(hù)效果。具體操作,請(qǐng)參見(jiàn)防護(hù)配置(舊)。
攻擊流量未超過(guò)默認(rèn)清洗閾值會(huì)導(dǎo)致攻擊透?jìng)鳎绕涫荅IP綁定帶寬包的情況下可能存在默認(rèn)清洗閾值較大的情況出現(xiàn),建議您根據(jù)正常業(yè)務(wù)流量大小調(diào)整合適的清洗閾值。具體操作,請(qǐng)參見(jiàn)設(shè)置流量清洗閾值。
建議您通過(guò)配置合適的業(yè)務(wù)場(chǎng)景策略(定制場(chǎng)景策略),或者根據(jù)結(jié)合業(yè)務(wù)特點(diǎn)自定義頻次防護(hù)策略(設(shè)置CC安全防護(hù)),來(lái)提升防護(hù)效果。