DDoS攻擊是一種針對目標系統的惡意網絡攻擊行為,會導致被攻擊者的業務無法正常訪問。阿里云默認為全球加速實例的加速IP和終端節點出公網IP免費開啟DDoS基礎防護,有效防止業務受到惡意攻擊,提高全球加速實例的防御能力和安全。
DDoS基礎防護工作原理
防護能力
全球加速實例的加速IP和終端節點出公網IP默認開啟DDoS基礎防護能力,提供不超過5 Gbps的基礎DDoS防護能力。不同地域支持的最大免費防護流量不同:
DDoS基礎防護各個地域默認初始黑洞觸發閾值,請參見DDoS基礎防護黑洞閾值。
全球加速實例的實際黑洞閾值與地域及帶寬配置有關,請以資產中心頁面顯示為準。
防護原理
所有來自互聯網的流量都要先經過DDoS防護網絡再到達全球加速實例,DDoS防護網絡會實時監控進入全球加速實例的流量。當監測到超大流量或者包括DDoS攻擊在內的異常流量時,在不影響正常業務的前提下,DDoS基礎防護會將可疑流量從原始網絡路徑中重定向到清洗設備上,識別并剝離惡意流量,并將還原的合法流量回注到原始網絡中轉發給目標全球加速實例。這一過程,就是流量清洗。更多信息,請參見什么是DDoS原生防護。
當來自互聯網的流量大于DDoS防護能力時,為保護整個集群的安全,流量將會被黑洞處理,即所有入流量全部被屏蔽。更多信息,請參見阿里云黑洞策略。
流量清洗的觸發條件包括:
流量模型的特征。當流量符合攻擊流量模型特征時,將觸發流量清洗。
流量大小。DDoS基礎防護根據全球加速實例的加速IP和終端節點出公網IP的帶寬自動設定清洗閾值,當流量達到設置的閾值時,無論是否為正常業務流量,DDoS基礎防護都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制數據包速度等。DDoS基礎防護涉及以下清洗閾值:
BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。
PPS清洗閾值:入方向數據包數超過了PPS清洗閾值時,觸發清洗。
清洗閾值
全球加速實例的加速IP和終端節點出公網IP清洗閾值計算方式如下表所示:
IP帶寬(單位:Mbps) | 最大BPS清洗閾值(單位:Mbps) |
≤300 | 450 |
>300 | 加速IP帶寬值×1.5 |
IP帶寬(單位:Mbps) | 最大PPS清洗閾值(單位:pps) |
≤100 | 10萬 |
>100 | 加速IP帶寬值×1000 |
其中,IP帶寬的計算方式如下:
加速IP的IP帶寬:為所屬加速地域分配的帶寬值。
終端節點組出公網IP的帶寬值與全球加速實例付費模式和帶寬計費方式有關。
付費模式
帶寬計費方式
IP帶寬
包年包月
按流量計費(CDT統一結算)
終端節點組出公網IP帶寬值=全球加速實例規格的最大帶寬處理能力
按帶寬計費(綁定基礎帶寬包)
終端節點組出公網IP帶寬值=基礎帶寬包的帶寬峰值
按量付費
按流量計費(CDT統一結算)
1200 Mbps
例如,某個標準型全球加速實例加速IP所屬加速地域分配帶寬為100 Mbps,綁定基礎帶寬包帶寬峰值為200 Mbps。則:
加速IP防護閾值:最大BPS清洗閾值為450 Mbps,最大PPS清洗閾值為10萬。
終端節點組出公網IP防護閾值:最大BPS清洗閾值為450 Mbps,最大PPS清洗閾值為20萬。
查看全球加速的防護閾值
- 登錄全球加速管理控制臺。
在實例列表頁面,單擊實例ID。
說明如果您需要查看基礎型全球加速實例的防護閾值,還需要在全球加速實例控制臺左側導航欄,選擇基礎型實例進入基礎型全球加速的實例列表頁面。
根據需求選擇查看全球加速實例的加速IP或終端節點出公網IP防護閾值。
說明DDoS防護狀態包括:防護中、清洗中和黑洞中。DDoS防護圖標根據DDoS防護狀態不同,顯示顏色不同,具體信息,可在氣泡中查看。
查看加速IP防護閾值
在實例詳情頁,單擊加速區域頁簽,找到目標加速IP,在加速 IP或安全防護列,將鼠標移至DDoS防護圖標,在彈出的氣泡中,查看加速IP的BPS清洗閾值、PPS清洗閾值、黑洞閾值。
查看終端節點組出公網IP防護閾值
僅標準型全球加速實例涉及終端節點組出公網IP防護閾值。
在實例詳情頁,單擊監聽頁簽,然后單擊目標終端節點出公網IP所在監聽ID。
在監聽詳情頁,單擊終端節點組頁簽,找到目標終端節點出公網IP,將鼠標移至DDoS防護圖標,在彈出的氣泡中,查看終端節點組出公網IP的BPS清洗閾值、PPS清洗閾值、黑洞閾值。
相關操作
設置清洗閾值:全球加速默認按IP帶寬最大閾值執行DDoS基礎防護。但是,部分IP帶寬的最大清洗閾值(BPS)可能過大,無法起到應有的防護作用,所以,您需要根據實際情況調整清洗閾值,具體操作,請參見設置流量清洗閾值。
購買其他DDoS防護服務:DDoS基礎防護僅提供基礎安全防護,如果您有更高地安全防護需求,可以選擇購買DDoS原生防護企業版或DDoS高防。具體操作,請參見購買DDoS原生防護企業版實例和購買DDoS高防實例。