全部產品
Search
文件中心

Anti-DDoS:什麼是DDoS高防

更新時間:Jul 31, 2024

DDoS高防(Anti-DDoS)是阿里雲提供的DDoS攻擊代理防護服務,可以抵禦流量型和資源耗盡型DDoS攻擊,支援防護阿里雲、非阿里雲或雲外的伺服器。業務接入DDoS高防後,當遭受大流量DDoS攻擊時,DDoS高防通過DNS解析將流量調度到高防機房進行清洗,並將乾淨流量轉寄給伺服器。本文介紹DDoS高防的工作原理、應用情境、執行個體類型等。

工作原理

DDoS高防支援通過DNS解析和IP直接指向兩種引流方式,實現網站網域名稱和業務連接埠的接入防護。根據您在DDoS高防中為業務配置的轉寄規則,DDoS高防將業務的DNS網域名稱解析或業務IP指向DDoS高防執行個體IP或CNAME地址進行引流。

來自公網的訪問流量都將優先經過高防機房,惡意攻擊流量將在高防流量清洗中心進行清洗過濾,正常的訪問流量通過連接埠協議轉寄的方式返回給來源站點伺服器,從而保障來源站點伺服器的穩定訪問。

應用情境

阿里雲DDoS高防適用於金融、電商、門戶類網站,政府互連網出口、門戶與開放平台,重大線上直播、活動推廣促銷的DDoS攻擊防護情境,以及業務遭競爭者惡意攻擊、勒索,移動業務遭惡意註冊、刷單、刷流量等安全防護情境。

在上述行業中,當業務存在以下安全風險時,推薦您使用DDoS高防:

  • 遭受惡意攻擊者的DDoS攻擊勒索。

  • DDoS攻擊已經導致業務不可用,需要緊急恢複。

  • 頻繁遭受DDoS攻擊,需要持續防護DDoS攻擊,保護業務的穩定性。

執行個體類型

根據商務服務器部署地區的不同,DDoS高防提供DDoS高防(中國內地)和DDoS高防(非中國內地)。

DDoS高防(中國內地)

適用於商務服務器部署在中國內地的情境。採用中國內地專屬的T級八線BGP頻寬資源,為接入防護的業務防禦超大流量的DDoS攻擊。提供專業版和進階版兩種執行個體類型。詳細資料,請參見DDoS高防(中國內地)計費說明

  • 專業版:防護能力由您購買時選擇的保底防護頻寬、彈性防護頻寬決定。

  • 進階版:保底防護頻寬為5 Gbps,每個自然月有2次進階防護次數。

    說明
    • 進階防護即以成功防禦每一次DDoS攻擊為目標,整合阿里雲當前地區所有高防清洗中心能力,全力保護您的業務。

    • 進階防護次數用完後,您還可以單獨購買進階防護次數。更多資訊,請參見進階防護資源套件計費說明

DDoS高防(非中國內地)

適用於商務服務部署在非中國內地的情境。依託先進的分布式近源清洗能力,為接入防護的業務提供不設上限的DDoS攻擊全力防護能力。提供如下執行個體類型,更多詳細資料,請參見DDoS高防(非中國內地)計費說明

  • 保險防護

    提供每月兩次的進階防護,適用於伺服器及使用者都在非中國內地,受攻擊風險較低的使用者。

    進階防護次數用完後,可以單獨購買進階防護次數。更多資訊,請參見進階防護資源套件計費說明

  • 無憂防護

    每個自然月無限次的進階防護次數,全面為您的業務保駕護航。適用於伺服器及使用者都在非中國內地。

  • 加速線路

    加速線路僅用於訪問加速,無DDoS防護能力,需要配合保險防護或無憂防護使用。在業務在無攻擊的情況下,通過加速線路實現業務的快速存取,而當遭受攻擊時自動切換到保險防護或無憂防護執行個體來緩解DDoS攻擊。

    適用於伺服器部署在非中國內地,但主要服務於中國內地的使用者。

  • 安全加速線路

    內建DDoS防護清洗能力,實現直接進行清洗防護的同時兼顧業務的快速存取。適用於伺服器部署在非中國內地,但主要服務於中國內地的使用者。

商務服務器部署在非中國內地時,推薦的DDoS防護方案請參見下表。

情境

DDoS防護方案

商務服務器部署在非中國內地,主要服務非中國內地的使用者

購買DDoS高防(非中國內地)保險防護執行個體或無限防護執行個體。

商務服務器部署在非中國內地,主要服務中國內地的使用者

  • 方案一

    如果您的業務對網路延遲要求比較高(例如遊戲商務服務器),建議您將伺服器遷移至中國內地,並且購買DDoS高防(中國內地)執行個體來緩解DDoS攻擊。

  • 方案二

    如果您的商務服務器暫時無法遷移到中國內地,您可以購買DDoS高防(非中國內地)保險防護執行個體或無限防護執行個體,並同時購買加速線路,實現在無DDoS攻擊時通過加速線路保障中國內地使用者訪問順暢的需求。詳細資料,請參見配置DDoS高防(非中國內地)加速線路

  • 方案三

    如果您的商務服務器暫時無法遷移到中國內地,您可以購買DDoS高防(非中國內地)保險防護執行個體或無限防護執行個體,並同時購買DDoS高防(非中國內地)安全加速線路,實現業務跨境加速的同時提供DDoS防護能力。無需在攻擊時切換高防IP,可以降低攻擊切換期間的延遲和丟包。詳細資料,請參見配置DDoS高防(非中國內地)安全加速

商務服務器部署在非中國內地,同時服務中國內地和非中國內地的使用者

  • 方案一

    建議您分地區部署商務服務器,部署在中國內地的伺服器服務中國內地使用者,部署在非中國內地的伺服器服務非中國內地使用者。您可以購買DDoS高防(中國內地)執行個體防護中國內地的業務,購買DDoS高防(非中國內地)保險防護執行個體或無限防護執行個體防護非中國內地的業務。

  • 方案二

    如果您的商務服務器暫時無法遷移到中國內地,您可以購買DDoS高防(非中國內地)保險防護執行個體或無限防護執行個體,並同時購買加速線路,實現在無DDoS攻擊時通過加速線路保障中國內地使用者訪問順暢的需求。詳細資料,請參見配置DDoS高防(非中國內地)加速線路

  • 方案三

    如果您的商務服務器暫時無法遷移到中國內地,您可以購買DDoS高防(非中國內地)保險防護執行個體或無限防護執行個體,並同時購買DDoS高防(非中國內地)安全加速線路,實現業務跨境加速的同時提供DDoS防護能力。無需在攻擊時切換高防IP,可以降低攻擊切換期間的延遲和丟包。詳細資料,請參見配置DDoS高防(非中國內地)安全加速

高防網路延遲

  • DDoS高防(中國內地):中國內地使用者訪問73~113ms,非中國內地使用者訪問約313ms。

  • DDoS高防(非中國內地):

    • 保險防護、無憂防護:非中國內地使用者訪問60~100ms,中國內地使用者訪問約300ms。

    • 加速線路、安全加速線路:網路延遲小於50ms。

相關文檔

關於進階防護的詳細介紹,請參見進階防護