本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
阿里云默認為輕量應用服務器免費開通DDoS原生防護基礎版服務(也稱基礎防護),有效防止實例受到惡意攻擊,提高輕量應用服務器的防御能力和安全。
背景信息
阿里云DDoS基礎防護默認為輕量應用服務器實例免費提供不超過5 Gbps的DDoS攻擊防御能力,您可以登錄DDoS防護管理控制臺查看實際防護閾值。更多信息,請參見DDoS基礎防護黑洞閾值。
DDoS基礎防護可滿足較低的安全需求,如果您對安全防護有較高的需求,您可以根據實際業務場景和安全需求開通(以下服務均收費)DDoS基礎防護企業版和DDoS高防(新BGP、國際),來提供全力防護能力。更多信息,請參見DDoS概述。
關于DDoS收費服務的計費說明,請參見DDoS產品計費。
DDoS基礎防護工作原理
DDoS基礎防護為輕量應用服務器提升DDoS攻擊防御能力,當流量超出DDoS基礎防護的默認清洗閾值后,自動觸發流量清洗,實現DDoS攻擊防護。更多信息,請參見什么是DDoS原生防護。
當輕量應用服務器遭受大流量DDoS攻擊,且攻擊流量的帶寬閾值(BPS)超過了其DDoS防御能力時,為避免更大損害,輕量應用服務器的公網IP地址會進入黑洞狀態,阿里云黑洞策略會暫時屏蔽輕量應用服務器的互聯網入方向流量。更多信息,請參見阿里云黑洞策略。
DDoS基礎防護在清洗判定中采用了AI智能分析的方法,您可以根據正常業務流量基線,設置一個清洗閾值。DDoS基礎防護能夠基于阿里云的大數據能力,自學習您的業務流量基線,并結合算法識別異常攻擊。
只有當AI智能分析檢測到DDoS攻擊且請求流量達到您設置的清洗閾值時,DDoS防護才會觸發流量清洗,避免了使用固定閾值可能導致的誤清洗。例如:正常業務上漲波動超出固定清洗閾值,引起誤清洗。
流量清洗的觸發條件包括:
流量模型的特征。當流量符合攻擊流量特征時,就會觸發清洗。
流量大小。DDoS攻擊一般流量都非常大,通常都以Gbps為單位,因此,當進入輕量應用服務器實例的流量達到設置的閾值時,無論是否為正常業務流量,DDoS防護都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制數據包速度等。所以在使用DDoS基礎防護時,您需要設置以下閾值:
攻擊流量的帶寬閾值(BPS):當入方向流量超過BPS清洗閾值時,會觸發流量清洗。
攻擊報文的包轉發率閾值(PPS):當入方向數據包數超過PPS清洗閾值時,會觸發流量清洗。
查看DDoS防護信息
登錄輕量應用服務器管理控制臺。
在左側導航欄,單擊服務器。
單擊目標服務器卡片中的實例ID,進入服務器概覽頁面。
如果服務器較多,可在搜索文本框中,輸入公網IP地址或者實例ID篩選服務器。
在基本信息區域中的DDoS攻擊狀態后,單擊更多信息,進入DDoS控制臺。
您可以在DDoS控制臺的資產中心頁面,查看當前地域下所有輕量應用服務器的DDoS防護信息,包括狀態、防護能力、清洗閾值。具體操作,請參見資產中心。
相關操作
創建輕量應用服務器后,您可以根據實際安全需求執行以下操作:
相關操作 | 說明 |
設置清洗閾值 | 輕量應用服務器創建后,默認按最大清洗閾值執行DDoS基礎防護。但是最大清洗閾值(BPS)過大,可能無法起到應有的防護作用,所以您需要根據實際情況調整清洗閾值。具體操作,請參見DDoS基礎防護設置。 說明 清洗閾值手動設置建議如下:
|
取消流量清洗 | 當流量達到清洗閾值時,無論是否為正常業務流量,DDoS都會啟動流量清洗,此時,可能會導致正常業務不可用或受影響。為了保證正常業務,您可以手動取消流量清洗。具體操作,請參見如何取消流量清洗。 警告 取消流量清洗后,當流入輕量應用服務器實例的流量超過對應的黑洞閾值時,您的輕量應用服務器實例的公網IP地址會進入黑洞,阿里云黑洞策略會暫時屏蔽輕量應用服務器的互聯網入方向流量,請謹慎操作。更多信息,請參見阿里云黑洞策略。 |