全部產品
Search

搜尋本產品

    Anti-DDoS:如何選擇DDoS防護產品

    文件中心

    Anti-DDoS:如何選擇DDoS防護產品

    更新時間:Mar 04, 2026

    阿里雲DDoS防護產品矩陣旨在保護您的業務免受各類DDoS攻擊,確保業務的連續性和穩定性。面對不同類型的攻擊和多樣的業務情境,選擇合適的防護方案至關重要。本文將作為您的決策指南,協助您快速理解核心概念,通過情境化選型路徑,找到最適合您業務的DDoS防護產品。

    核心概念

    理解以下核心概念,是作出正確選型決策的基礎。

    關鍵術語

    術語

    解釋

    DDoS攻擊

    全稱為分散式阻斷服務攻擊(Distributed Denial of Service attack),是一種常見的網路安全攻擊方式。這種攻擊形式主要通過惡意流量消耗網路或網路裝置的資源,從而導致網站無法正常運行或線上服務無法正常提供。更多資訊,請參見什麼是DDoS攻擊

    黑洞

    一種流量屏蔽機制。當針對某個IP的攻擊流量超出其基礎防護能力時,為保護阿里雲整體網路穩定,電訊廠商會將該IP的所有流量(包括正常訪問)丟棄,導致該IP上的業務在一段時間內完全中斷。購買更進階別的防護服務(如DDoS高防)是解除黑洞的有效方式。

    流量清洗

    通過一系列檢測和識別演算法,將惡意的攻擊流量從正常業務流量中分離並丟棄,僅將乾淨的業務流量轉寄回來源站點伺服器,保障業務可用。

    產品定義

    • DDoS基礎防護:為部分阿里雲產品提供的免費基礎防護服務。它能抵禦小規模攻擊,但防護能力有限(500 Mbps~5 Gbps)。當攻擊流量超過閾值時,受攻擊的IP將被黑洞,導致業務中斷。

    • DDoS原生防護:DDoS原生防護是一款直接提升阿里雲產品DDoS防禦能力的安全產品,部署簡單無需改變網路架構,無需變更業務IP,主要防禦三層和四層的流量型DDoS攻擊。

    • DDoS高防:DDoS高防是一項代理防護服務它通過DNS解析將業務流量牽引至全球DDoS清洗中心進行清洗,能有效隱藏來源站點IP,並全面防禦網路層、傳輸層及應用程式層(包括HTTP/HTTPS CC)的各類DDoS攻擊。

    防護方案詳解

    說明

    如果需要定製專屬的安全解決方案(如超大規格、應用程式層UDP防護等),可以通過電話諮詢商務經理。

    產品對比

    對比維度

    DDoS基礎防護

    DDoS原生防護

    DDoS高防

    防護標準型雲產品

    防護增強型雲產品

    適用情境

    • 對成本敏感

    • 可容忍短暫中斷的非核心業務。

    • 攻擊規模較小。

    • IP/連接埠數量多。

    • 業務頻寬大(如業務頻寬大於1 Gbps,HTTP和HTTPS業務QPS大於5,000),且不能改變對外IP。

    • 需要極低延遲,保障大流量攻擊時商務持續性。

    • 偶爾遭受DDoS攻擊。

    • 遭受攻擊較多且攻防對抗激烈。

    • 需要防禦精細化應用程式層CC攻擊。

    • 需要改變業務對外IP。

    計費

    免費。

    僅支援隨用隨付(後付費),詳細資料,請參見原生防護2.0(後付費)

    • 執行個體費用(預付費):根據選擇的保底防護頻寬、業務頻寬、QPS等規格按月或按年支付。

    • 彈性防護費用(後付費):僅當DDoS攻擊流量超過保底防護頻寬時,按天根據實際攻擊流量峰值計費。

    • 彈性業務頻寬/QPS費用(後付費):僅當正常業務流量或QPS超過保底規格時,按日或月95峰值計費。

    • 進階防護資源套件: 針對特定執行個體,還可以按需購買進階防護資源套件

    更多說明,請參見產品計費

    核心機制

    雲產品內建,流量超閾值後自動觸發流量丟棄(黑洞),保障雲端服務商網路穩定。

    不改變業務IP,直接關聯雲資源,在攻擊超閾值後進行流量清洗。

    通過修改DNS將流量牽引至專用高防中心,所有流量先清洗後轉寄,保障來源站點可用性。

    接入方式

    自動開啟,無需人工操作。

    在控制台關聯防護對象即可。

    需修改DNS解析,將流量指向高防IP。

    防護對象

    部分阿里雲產品,

    包含ECS、SLB、EIP(包含綁定NAT Gateway的EIP)、IPv6網關、輕量伺服器、WAF、GA、AnyCastEIP

    部分阿里雲產品,

    包含ECS、SLB、EIP(包含綁定NAT Gateway的EIP)、IPv6網關、輕量伺服器、WAF、GA、AnyCastEIP

    目前僅支援DDoS防護增強型EIP。

    任意公網IP。

    防護能力

    低,基於阿里雲上防禦能力,500 Mbps~5 Gbps。詳細內容,請參見DDoS基礎防護黑洞閾值

    較高,基於阿里雲上防禦能力,最高可達幾百Gbps。詳細內容,請參見什麼是DDoS原生防護

    高,基於阿里雲全球DDoS清洗中心能力,最高可達Tbps以上。

    高,基於阿里雲全球DDoS清洗中心能力,最高可達Tbps以上。

    防禦的DDoS攻擊類型對比

    攻擊類型

    攻擊說明

    DDoS原生防護

    DDoS高防

    防護標準型雲產品

    防護增強型雲產品

    網路層DDoS攻擊

    主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。

    支援

    支援

    支援

    傳輸層DDoS攻擊

    主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood、NTP反射、SSDP反射、DNS反射等。

    支援

    支援

    支援

    應用程式層DDoS攻擊(HTTP/HTTPS)

    也稱Web類應用程式層CC攻擊,主要包括HTTP/HTTPS CC、HTTP慢速攻擊(Loic/Hoic/Slowloris/Pyloris/Xoic)等針對HTTP業務的CC攻擊,例如網站、API介面、WebSocket等業務。

    不支援

    不支援

    支援

    應用程式層DDoS攻擊(非HTTP/HTTPS的TCP應用程式層協議)

    也稱非Web類應用程式層CC攻擊,主要包括TCP CC、TCP空串連、TCP串連資源消耗攻擊等針對非HTTP業務的基於TCP應用程式層的CC攻擊,例如私人協議、MySQL、MQTT、RTMP等業務。

    不支援

    支援

    說明

    公測中,當前僅支援杭州地區。

    支援

    應用程式層DDoS攻擊(基於UDP的應用程式層協議)

    UDP-CC、NS服務的DNS-Flood等針對UDP業務的CC攻擊,例如NS服務、UDP遊戲業務、UDP語音通話等業務。

    重要

    UDP業務CC防護需要額外購買Managed Security Service,否則不支援。

    支援

    說明

    支援對非NS服務的DNS攻擊進行清洗。如需保護NS服務,請使用DNS安全

    防護效果說明

    • DDoS攻擊形態在持續演變,DDoS防護方案內建的智能AI引擎,會對正常業務流量進行學習建模,以精準識別攻擊。

    • 同時針對業務剛接入就遭受DDoS攻擊或CC攻擊,可能出現瞬時的攻擊透傳,提供以下防護配置:

      • DDoS原生防護:

        • 提前自訂串列防護、連接埠防護、觸發防護等各類防護策略,提升防護效果。具體操作,請參見防護配置

        • 根據業務流量調整合適的清洗閾值。具體操作,請參見設定流量清洗閾值

      • DDoS高防: