阿里雲為部分雲產品免費提供500 Mbps~5 Gbps的DDoS基礎防護能力,以抵禦常見的網路層、傳輸層DDoS攻擊。本文介紹什麼是DDoS基礎防護。
產品介紹
DDoS基礎防護是一款為部分阿里雲產品免費提供網路層、傳輸層防禦能力的基礎安全產品,直接整合到雲產品中,預設開啟且不支援關閉。提供的DDoS防護能力為500 Mbps~5 Gbps,各雲產品的具體防護能力,請參見DDoS基礎防護黑洞閾值。
在遭受頻繁攻擊的情況下,平台會根據客戶的歷史攻擊記錄調整防護能力,以確保平台整體穩定。
在正常情況下,DDoS基礎防護一般不會影響使用者的正常訪問,但鑒於攻擊方式(例如HTTP_Flood、SYN_Flood,ACK_Flood等)、攻擊手段以及使用者自身業務情境(例如超過平台、產品本身規格)可能會對訪問造成影響。如果DDoS基礎防護無法滿足需求,您可以選擇DDoS原生防護或DDoS高防等更進階別的防護產品。詳細介紹,請參見什麼是DDoS原生防護、什麼是DDoS高防以及如何選擇DDoS防護產品。
防護原理說明
DDoS基礎防護會預設設定清洗閾值,也支援您手動設定清洗閾值,當觸發流量清洗條件時,DDoS基礎防護通過對所有來自互連網的流量進行過濾清洗,防禦一般常見的網路層、傳輸層攻擊,例如UDP反射攻擊、SYN/ACK Flood攻擊等,但DDoS基礎防護不支援抵禦應用程式層攻擊,例如HTTP Flood攻擊和CC攻擊。
當同時滿足如下條件時,會觸發清洗:
入方向流量符合異常流量模型特徵。
入方向流量的BPS或者PPS超過設定的清洗閾值。
如果入方向流量超過防護能力(即黑洞閾值),為避免DDoS攻擊對雲產品產生更大損害,同時也避免單個雲產品被DDoS攻擊而影響其他資產正常運行,雲產品會進入黑洞,即阿里雲會暫時屏蔽雲產品的互連網入方向流量。詳細介紹,請參見阿里雲黑洞策略。
支援防護的雲產品
ECS、SLB、EIP(包含綁定NAT Gateway的EIP)、IPv6網關、輕量伺服器、WAF、GA、AnyCastEIP
支援的地區
DDoS基礎防護支援的地區請參見下表。
地區 | 地區 |
亞太地區 | 泰國(曼穀)、菲律賓(馬尼拉)、日本(東京)、印尼(雅加達)、馬來西亞(吉隆坡)、韓國(首爾)、新加坡、中國香港、西南1(成都)、華南3(廣州)、華南2(河源)、華南1(深圳)、華北6(烏蘭察布)、華北5(呼和浩特)、華北3(張家口)、華北2(北京)、華北1(青島)、華東6(福州-本地地區)、華東5(南京-本地地區)、華東2(上海)、華東1(杭州) |
歐美地區 | 英國(倫敦)、德國(法蘭福克)、美國(維吉尼亞)、美國(矽谷) |
中東 | 沙特(利雅得)、阿聯酋(杜拜) |
術語介紹
網路層攻擊:常見攻擊類型包括UDP反射類攻擊、大流量SYN、ACK Flood攻擊,不符合IP協議的畸形報文。此類攻擊以消耗伺服器頻寬資源從而達到拒絕服務的目的。
應用程式層攻擊:常見攻擊類型包括HTTP Flood攻擊、CC攻擊以及DNS Flood,是基於業務特徵的消耗型攻擊。此類攻擊以消耗伺服器處理效能從而達到拒絕服務的目的。
相關文檔
各雲產品所支援設定的最大清洗閾值取決於各雲產品執行個體的規格。具體介紹,請參見雲產品規格與清洗閾值。
如何設定清洗閾值,請參見設定流量清洗閾值。