本文介紹原生防護的基本概念。
DDoS攻擊
DDoS攻擊即分散式阻斷服務(Distributed Denial of Service,簡稱DDoS)攻擊,主要包含流量型攻擊和應用程式層攻擊。
流量型攻擊主要是針對網路頻寬的攻擊,駭客通常利用多個被控制的電腦或者發包機向目標伺服器發送大量請求或者資料包,導致網路頻寬被阻塞正常業務無法訪問。
應用程式層攻擊主要是針對伺服器的攻擊,通過惡意請求導致伺服器的記憶體被耗盡,或者CPU被核心及應用程式耗盡而導致伺服器無法響應業務正常訪問請求。
流量清洗
流量清洗是指通過專業的防DDoS裝置或者服務對流量進行分析和過濾,將其中的正常流量和攻擊流量區分開,並將正常流量回源到伺服器,從而減輕伺服器壓力和風險。
黑洞
黑洞是指當DDoS攻擊流量達到清洗服務可承載的最大閾值時,為了保護同網路其他業務的可用性,將所有訪問目標IP的流量進行丟棄。關於黑洞的更多資訊,請參見阿里雲黑洞策略。
全力防護
DDoS原生防護的全力防護,是指根據當前地區下DDoS本地清洗中心的機房網路和資源整體水位,儘可能對攻擊進行防禦,隨著阿里雲網路能力的不斷提升,全力防護也會提升防護能力,不需要您額外付出升級成本。
防護次數
以5秒顆粒度為一個流量記錄點,1分鐘共12個記錄點,當攻擊流量超過N Gbps時開始累積攻擊時間長度(例如圖中X+Y),當累積攻擊時間長度超過15分鐘(即180個記錄點),即為一次全力防護。
圖中紅色線條代表公網IP資產入方向的流量。
防護的公網IP資產在中國內地:N=20 Gbps。
防護的公網IP資產在非中國內地:N=10 Gbps。