本文介紹原生防護的基本概念。
DDoS攻擊
DDoS攻擊即分散式阻斷服務(Distributed Denial of Service,簡稱DDoS)攻擊,主要包含流量型攻擊和應用程式層攻擊。
流量型攻擊主要是針對網路頻寬的攻擊,駭客通常利用多個被控制的電腦或者發包機向目標伺服器發送大量請求或者資料包,導致網路頻寬被阻塞正常業務無法訪問。
應用程式層攻擊主要是針對伺服器的攻擊,通過惡意請求導致伺服器的記憶體被耗盡,或者CPU被核心及應用程式耗盡而導致伺服器無法響應業務正常訪問請求。
流量清洗
流量清洗是指通過專業的防DDoS裝置或者服務對流量進行分析和過濾,將其中的正常流量和攻擊流量區分開,並將正常流量回源到伺服器,從而減輕伺服器壓力和風險。
黑洞
黑洞是指當DDoS攻擊流量達到清洗服務可承載的最大閾值時,為了保護同網路其他業務的可用性,將所有訪問目標IP的流量進行丟棄。關於黑洞的更多資訊,請參見阿里雲黑洞策略。
全力防護
全力防護即依據當前雲機房的整體水位儘力抵禦DDoS攻擊,其防護能力並非固定不變。隨著阿里雲網路基礎設施的持續建設與拓展,原生防護的防護水位也會隨之提升,但在遭遇特殊情形致使機房資源緊張時,防護水位也可能會有所下降。DDoS原生防護各類型執行個體的防護能力,請參見防護能力。
防護次數
以5秒顆粒度為一個流量記錄點,1分鐘共12個記錄點,當攻擊流量超過N Gbps時開始累積攻擊時間長度(例如圖中X+Y),當累積攻擊時間長度超過15分鐘(即180個記錄點),即為一次全力防護。
圖中紅色線條代表公網IP資產入方向的流量。
防護的公網IP資產在中國內地:N=20 Gbps。
防護的公網IP資產在非中國內地:N=10 Gbps。