近源流量壓制是指對業務中電信、聯通線路的非中國內地流量進行封鎖,在靠近攻擊源的位置丟棄流量,降低DDoS高防進入黑洞的可能性。每個使用者總共擁有10次觸發近源流量壓制的額度,封鎖期間支援隨時解除。本文介紹如何設定近源流量壓制。
應用情境
當您的DDoS高防執行個體遭遇特大流量攻擊,並且發現攻擊流量有超過執行個體最大防護能力的趨勢時,建議您考慮使用近源流量壓制。一般情況下,假如海外攻擊流量佔比30%左右,通過封鎖海外流量即可大大緩解防禦壓力,將攻擊規模控制在執行個體最大防護能力範圍內。
地區封鎖VS近源流量壓制
地區封鎖在DDoS高防清洗機房內部實現,在靠近被攻擊目標的位置丟棄特定地區的流量(近目的流量封鎖)。地區封鎖根據源IP的歸屬地區在DDoS高防中識別過濾,並不能減少進入高防網路的攻擊流量,適用於防護串連資源消耗型攻擊。更多資訊,請參見設定地區封鎖。
相比於地區封鎖,近源流量壓制一般通過電訊廠商骨幹網核心路由器,在靠近攻擊源的位置丟棄特定地區的流量,降低DDoS高防進入黑洞的可能性。
策略生效時間長度
由您自訂,支援15分鐘~24小時。
使用限制
僅DDoS高防(中國內地)支援近源流量壓制功能,DDoS高防(非中國內地)服務不支援。
一個阿里雲帳號總共擁有10次封鎖機會,封鎖一次電信或聯通海外流量都會消耗一次額度,不支援增加封鎖次數。
前提條件
已購買DDoS高防(中國內地)執行個體。相關操作,請參見購買DDoS高防執行個體。
操作步驟
登入DDoS高防控制台。
在頂部導覽列,選擇中國內地地區。
在左側導覽列,選擇。
在基礎設施DDoS防護頁簽下,從左側執行個體列表中選擇要設定的DDoS高防執行個體。
定位到近源流量壓制地區,根據需要執行以下封鎖操作:
封鎖電信海外流量:單擊電信海外後的操作,設定封鎖時間長度後單擊確定。
封鎖聯通海外流量:單擊聯通海外後的操作,設定封鎖時間長度後單擊確定。
說明建議您優先封鎖電信海外流量,並觀察攻擊規模的變化趨勢。如果攻擊流量還是很大,超過當前防護能力,則可以考慮再封鎖聯通海外流量。
您可以單擊查看封鎖資訊,查看本次封鎖的地區和時間範圍。流量封鎖期間,您可以單擊解鎖,提前解除對應線路的海外流量封鎖。
執行結果
如果近源流量壓制失敗,您會收到失敗提示資訊,請根據提示排查問題後再次嘗試。如果未出現任何提示資訊,則表示近源流量壓制已成功。