全部產品
Search
文件中心

Anti-DDoS:設定近源流量壓制

更新時間:Jun 30, 2024

近源流量壓制是指對業務中電信、聯通線路的非中國內地流量進行封鎖,在靠近攻擊源的位置丟棄流量,降低DDoS高防進入黑洞的可能性。每個使用者總共擁有10次觸發近源流量壓制的額度,封鎖期間支援隨時解除。本文介紹如何設定近源流量壓制。

應用情境

當您的DDoS高防執行個體遭遇特大流量攻擊,並且發現攻擊流量有超過執行個體最大防護能力的趨勢時,建議您考慮使用近源流量壓制。一般情況下,假如海外攻擊流量佔比30%左右,通過封鎖海外流量即可大大緩解防禦壓力,將攻擊規模控制在執行個體最大防護能力範圍內。

地區封鎖VS近源流量壓制

地區封鎖在DDoS高防清洗機房內部實現,在靠近被攻擊目標的位置丟棄特定地區的流量(近目的流量封鎖)。地區封鎖根據源IP的歸屬地區在DDoS高防中識別過濾,並不能減少進入高防網路的攻擊流量,適用於防護串連資源消耗型攻擊。更多資訊,請參見設定地區封鎖

相比於地區封鎖,近源流量壓制一般通過電訊廠商骨幹網核心路由器,在靠近攻擊源的位置丟棄特定地區的流量,降低DDoS高防進入黑洞的可能性。

策略生效時間長度

由您自訂,支援15分鐘~24小時。

使用限制

  • 僅DDoS高防(中國內地)支援近源流量壓制功能,DDoS高防(非中國內地)服務不支援。

  • 一個阿里雲帳號總共擁有10次封鎖機會,封鎖一次電信或聯通海外流量都會消耗一次額度,不支援增加封鎖次數。

前提條件

已購買DDoS高防(中國內地)執行個體。相關操作,請參見購買DDoS高防執行個體

操作步驟

  1. 登入DDoS高防控制台

  2. 在頂部導覽列,選擇中國內地地區。

  3. 在左側導覽列,選擇防護設定 > 通用防護策略

  4. 基礎設施DDoS防護頁簽下,從左側執行個體列表中選擇要設定的DDoS高防執行個體。

    說明

    您可以使用執行個體ID、執行個體備忘搜尋目標執行個體。

  5. 定位到近源流量壓制地區,根據需要執行以下封鎖操作:近源流量壓制

    • 封鎖電信海外流量:單擊電信海外後的操作,設定封鎖時間長度後單擊確定

    • 封鎖聯通海外流量:單擊聯通海外後的操作,設定封鎖時間長度後單擊確定

    說明

    建議您優先封鎖電信海外流量,並觀察攻擊規模的變化趨勢。如果攻擊流量還是很大,超過當前防護能力,則可以考慮再封鎖聯通海外流量。

    您可以單擊查看封鎖資訊,查看本次封鎖的地區和時間範圍。流量封鎖期間,您可以單擊解鎖,提前解除對應線路的海外流量封鎖。

執行結果

如果近源流量壓制失敗,您會收到失敗提示資訊,請根據提示排查問題後再次嘗試。如果未出現任何提示資訊,則表示近源流量壓制已成功。