全部產品
Search
文件中心

Anti-DDoS:基本概念

更新時間:Oct 24, 2024

本文介紹DDoS防護產品中涉及的幾個基本概念,以便於您更好地理解DDoS防護產品。

DDoS攻擊

DDoS攻擊即分散式阻斷服務(Distributed Denial of Service,簡稱DDoS)攻擊,主要包含流量型攻擊和應用程式層攻擊。

  • 流量型攻擊主要是針對網路頻寬的攻擊,駭客通常利用多個被控制的電腦或者發包機向目標伺服器發送大量請求或者資料包,導致網路頻寬被阻塞正常業務無法訪問。

  • 應用程式層攻擊主要是針對伺服器的攻擊,通過惡意請求導致伺服器的記憶體被耗盡,或者CPU被核心及應用程式耗盡而導致伺服器無法響應業務正常訪問請求。

流量清洗

流量清洗是指通過專業的防DDoS裝置或者服務對流量進行分析和過濾,將其中的正常流量和攻擊流量區分開,並將正常流量回源到伺服器,從而減輕伺服器壓力和風險。

黑洞

黑洞是指當DDoS攻擊流量達到清洗服務可承載的最大閾值時,為了保護同網路其他業務的可用性,將所有訪問目標IP的流量進行丟棄。關於黑洞的更多資訊,請參見阿里雲黑洞策略

Web資源耗盡型攻擊

Web資源耗盡型攻擊是針對應用程式層協議(如http、https等)發起的惡意請求攻擊,通過類比真實使用者的訪問行為,例如登入、註冊、搜尋等,消耗目標網站的應用資源,導致正常請求無法響應。

串連型攻擊

串連型攻擊是指標對傳輸層TCP協議發起的惡意會話攻擊,駭客利用多個肉雞終端向目標網站發送大量TCP請求,消耗目標伺服器的串連、CPU、記憶體等資源,從而導致正常業務無法訪問。

流量型攻擊

流量型攻擊是針對網路頻寬的攻擊,駭客通常利用多個被控制的電腦或者發包機向目標伺服器發送大量請求或者資料包,導致網路頻寬被阻塞正常業務無法訪問。

全力防護(高防)

DDoS高防的全力防護,是指DDoS高防叢集會調用所有可用資源進行盡全力進行防護,但如果攻擊超過叢集可用的最大水位,仍然有黑洞的風險。更多資訊,請參見DDoS高防(中國內地)計費說明

彈性防護

彈性防護是DDoS高防(中國內地)專業版提供的DDoS防禦能力。針對DDoS攻擊超過保底防護頻寬的情境,您可以設定需要DDoS高防(中國內地)協助您防禦的最大DDoS攻擊流量閾值(即彈性防護頻寬)。當DDoS攻擊流量峰值超過保底防護頻寬,且小於您設定的彈性防護頻寬時,將觸發彈性防護,且產生髮生攻擊當日的彈性防護費用。更多資訊,請參見DDoS高防(中國內地)計費說明

進階防護

進階防護是DDoS高防(中國內地)進階版、DDoS高防(非中國內地)保險版、無憂版、安全加速線路、安全加速線路(基礎版)防護套餐中提供的DDoS防禦能力。進階防護(即無上限全力防護)以成功防禦每一次DDoS攻擊為目標,整合阿里雲當前地區所有高防清洗中心能力,全力保護您的業務。更多資訊,請參見DDoS高防(中國內地)計費說明DDoS高防(非中國內地)保險防護和無限防護計費說明DDoS高防(非中國內地)安全加速線路計費說明

當單個高防IP受到的DDoS攻擊流量超過5 Gbps時消耗對應執行個體一次進階防護次數,防護時效為24小時,即24小時內該高防IP遭受的所有DDoS攻擊共消耗一次進階防護次數。

Anycast

DDoS高防(非中國內地)採用Anycast通訊模式,充分利用全球各地阿里雲流量清洗中心的能力作為DDoS高防(非中國內地)服務的資源。Anycast是一種網路地址和路由通訊方式。訪問Anycast地址的報文可以被路由到該Anycast地址標識的一組特定的伺服器主機。

DDoS高防(非中國內地)採用Anycast方式將接收到的流量路由到距離最近且擁有防護能力的清洗中心。通過這種路由方式,即使在面對大流量並發、網路擁塞時,產品會進行調度,優先保障業務可用性,但該情境可能會涉及到資料跨境。詳細介紹,請參見資料跨境說明

image.png

Anycast地址可以將接收到的流量路由至多個資料中心。當訪問流量到達綁定Anycast地址的IP時,根據所設定的分發方式將流量分發至不同的資料中心。一般情況下,選擇分發至距離訪問來源最近的資料中心。DDoS高防(非中國內地)在以下地區擁有存取點,幫您接入阿里雲。

地區

地區

亞太地區

中國香港、新加坡、日本、馬來西亞、印尼

北美

美國(矽谷)、美國(維吉尼亞)

歐洲

英國(倫敦)、德國(法蘭克福)

例如,某個DDoS高防(非中國內地)執行個體的Anycast IP為170.x.x.x,所有阿里雲海外地區高防流量清洗中心都宣告了該IP地址的路由。當向該IP地址發送資料包時,資料包會經過一系列路由,並通過查看阿里雲海外地區高防流量清洗中心各節點的可用路徑,最終將資料包發送至路徑最短(即經過最少跳路由)的節點。當某一節點的伺服器發生故障導致不可用時,將立即停止宣告已停用IP段,資料包將仍然按照距離最短的原則路由至最近的服務節點。

簡單來說,一般情況下來自中國香港的使用者訪問流量預設都將被路由至阿里雲中國香港高防流量清洗中心進行處理。