使用場景

DDoS攻擊是近年來對企業(yè)業(yè)務(wù)危害最大的攻擊手段之一。當企業(yè)遭受DDoS攻擊時，可能會導(dǎo)致業(yè)務(wù)中斷，進而導(dǎo)致企業(yè)的形象受損、客戶流失、收益受損等，嚴重影響企業(yè)業(yè)務(wù)的正常運營。

為此，OSS深度結(jié)合DDoS高防產(chǎn)品，提供T級DDoS防護能力、百萬QPS防護、秒級攻擊切換能力，可有效應(yīng)對T級DDoS流量攻擊、超大規(guī)模的CC攻擊、SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood等攻擊，確保業(yè)務(wù)不因攻擊導(dǎo)致不可用。

注意事項

OSS高防不處理以正常請求形式的流量盜刷場景（例如幾百MB、幾Gbps的流量盜刷）。對于以上流量盜刷場景，建議使用Policy策略、ACL等權(quán)限控制或者配置WAF防護的方式。更多信息，請參見如何避免OSS被攻擊惡意刷流量？。

防護原理

OSS高防的防護原理如下圖所示：

OSS默認使用DDoS原生防護保護您的Bucket。但是，當攻擊頻率超出DDoS原生防護的防御閾值時，原生防護將無法提供有效防護，可能會出現(xiàn)Bucket訪問異常的情況。

您開通了OSS高防后，當攻擊頻率超出DDoS原生防護的防御閾值時，OSS會自動將受攻擊Bucket的所有訪問流量牽引至高防集群。惡意攻擊流量將在高防流量清洗中心進行清洗過濾，正常訪問流量通過端口協(xié)議轉(zhuǎn)發(fā)的方式返回給目標Bucket，保證Bucket在受攻擊時的穩(wěn)定訪問。

當攻擊結(jié)束后，受攻擊Bucket會切回至DDoS原生防護進行保護。

使用限制

• 華東1（杭州）、華東2（上海）、華北1（青島）、華北2（北京）、華南1（深圳）、中國香港地域支持配置OSS高防。

• 無地域?qū)傩源鎯臻g不支持配置OSS高防。

• OSS高防僅支持防護Bucket外網(wǎng)域名（例如oss-cn-hangzhou.aliyuncs.com），不支持防護以下域名類型，例如：

  • 傳輸加速域名（oss-accelerate.aliyuncs.com和oss-accelerate-overseas.aliyuncs.com）

  • 接入點域名（例如ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com）

  • 對象FC接入點域名（例如fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com）

  • 通過IPv6協(xié)議訪問的Endpoint（例如cn-hangzhou.oss.aliyuncs.com）

  • Amazon S3 Endpoint（例如s3.oss-cn-hongkong.aliyuncs.com）

• 高防OSS實例創(chuàng)建后需至少使用7天。如果實例在7天內(nèi)被刪除，OSS會收取剩余時間的高防基礎(chǔ)資源費用。計費詳情，請參見DDoS防護費用。

• 每個地域可以創(chuàng)建一個高防OSS實例，每個實例最多只能綁定同一地域下的10個Bucket。

• 在Bucket綁定高防實例后，您無法通過瀏覽器預(yù)覽Bucket內(nèi)的資源。此外，OSS默認不對Bucket關(guān)聯(lián)的自定義域名進行防護，因此在Bucket遭到攻擊時，無法通過自定義域名正常訪問OSS。如果您希望在Bucket遭受攻擊時可以通過自定義域名訪問Bucket，請在OSS高防控制臺添加要防護的自定義域名。每個Bucket防護的自定義域名數(shù)量上限是5個。

  如果Bucket中要防護的自定義域名（www.example.com）匹配了DDoS高防產(chǎn)品中配置了轉(zhuǎn)發(fā)規(guī)則的相同域名（www.example.com）或泛域名（*.example.com），則需要前往DDoS高防控制臺解綁相同域名或泛域名。否則，在該Bucket受到攻擊時，無法通過該自定義域名正常訪問OSS。

  關(guān)于同名或泛域名轉(zhuǎn)發(fā)規(guī)則的更多信息，請參見添加網(wǎng)站配置。

使用OSS控制臺

1. 創(chuàng)建高防OSS實例。

   1. 登錄OSS管理控制臺。

   2. 在左側(cè)導(dǎo)航欄，選擇數(shù)據(jù)服務(wù) > OSS 高防。

   3. 可選：如果您是首次使用OSS高防，您需要在OSS 高防頁面，單擊確認開通。

   4. 在OSS 高防頁面，單擊創(chuàng)建高防OSS實例，然后選擇地域。

   5. 單擊確定。

2. 綁定Bucket。

   1. 單擊目標實例右側(cè)的查看和綁定Buckets。

   2. 在查看和綁定Buckets面板，單擊綁定高防Buckets。

   3. 在綁定高防Buckets對話框的高防 Bucket下拉列表，選擇需要綁定的Bucket。

      已被高防OSS實例綁定的Bucket不會在高防 Bucket下拉列表顯示。

   4. 單擊確定。

      綁定后，Bucket處于初始化狀態(tài)。待狀態(tài)更新為防護中時，表明高防OSS實例已對Bucket域名開始實施保護。

3. 如果需要防護自定義域名，請?zhí)砑訉?yīng)的自定義域名。

   重要

   OSS默認不對Bucket關(guān)聯(lián)的自定義域名進行防護，因此在Bucket遭到攻擊時，無法通過自定義域名正常訪問OSS。如果您希望在Bucket遭受攻擊時可以通過自定義域名訪問Bucket，請?zhí)砑右雷o的自定義域名。每個Bucket最多可添加5個要防護的自定義域名，且不同一級域名（站點）數(shù)量不超過4個。例如，a.mycname.com和b.mycname.com屬于同一個站點，而c.othercname.com是另一個站點。

   • 如果Bucket此前未綁定自定義域名，需要先綁定自定義域名。具體操作，請參見綁定自定義域名。

   • 如果Bucket已綁定自定義域名，請按如下步驟添加要防護的自定義域名：

     1. 選擇已綁定高防Bucket右側(cè)操作列的修改自定義域名。

     2. 選中要防護的自定義域名。

     3. 單擊確定。

        高防OSS實例對選中的自定義域名開始實施防護。