DDoS攻擊是一種針對目標系統的惡意網絡攻擊行為,會導致被攻擊者的業務無法正常訪問。阿里云免費為NAT網關提供最高5 Gbps的DDoS基礎防護,DDoS基礎防護服務可以有效防止DDoS攻擊。
DDoS基礎防護工作原理
NAT網關默認開啟DDoS基礎防護能力,提供不超過5 Gbps的基礎DDoS防護能力。所有來自互聯網的流量都要先經過云盾再到達NAT網關實例,云盾會針對常見的攻擊進行清洗過濾。更多信息,請參見什么是DDoS原生防護。
說明 當來自互聯網的流量大于DDoS防護能力時,為保護整個集群的安全,流量將會被黑洞處理,即所有入流量全部被屏蔽。DDoS基礎防護各個地域默認初始黑洞觸發閾值,請參見DDoS基礎防護黑洞閾值。NAT網關實例的實際黑洞閾值與所在地域及帶寬有關,請以資產中心頁面顯示為準。
流量清洗的觸發條件包括:
- 流量模型的特征。當流量符合攻擊流量模型特征時,將觸發流量清洗。
- 流量大小。DDoS基礎防護根據NAT網關實例的帶寬自動設定清洗閾值,當流量達到設置的閾值時,無論是否為正常業務流量,云盾都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制數據包速度等。DDoS基礎防護涉及以下清洗閾值:
- BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。
- PPS清洗閾值:入方向數據包數超過了PPS清洗閾值時,觸發清洗。
清洗閾值
NAT網關的清洗閾值計算方式如下表所示:
| EIP實例帶寬(單位:Mbps) | 最大BPS清洗閾值(單位:Mbps) | 最大PPS清洗閾值(單位:pps) |
| ≤300 | 450 | 10萬 |
| >300 | EIP實例帶寬值×1.5 | EIP實例帶寬值×1000 |
例如,EIP帶寬為1000 Mbps,則最大BPS清洗閾值為1500 Mbps,最大PPS清洗閾值為100萬。
當EIP實例綁定云資源后,清洗閾值會有所變化,請以DDoS防護產品控制臺的資產中心頁面顯示為準。更多信息,請參見資產中心。
文檔內容是否對您有幫助?