受到DDoS攻擊後如何選擇防護產品 - Anti-DDoS

阿里雲基於多年的DDoS攻防經驗和安全技術，提供多款正式商用的DDoS防護解決方案供您選擇，滿足業務中對各類DDoS攻擊進行安全防護的需求。本文介紹如何選擇合適的DDoS防護解決方案。

視頻指導

DDoS防護解決方案

阿里雲提供的DDoS防護方案套件括免費的DDoS基礎防護和以下收費服務：DDoS原生防護、DDoS高防，下表描述了不同方案的具體說明。選擇防護解決方案前，請您先瞭解各產品：什麼是DDoS原生防護、什麼是DDoS高防。

說明

如果需要定製專屬的安全解決方案（如超大規格、應用程式層UDP防護等），可以通過電話諮詢阿里雲安全架構師。詳細內容，請參見聯絡我們。

產品架構	DDoS基礎防護	DDoS原生防護		DDoS高防
產品架構	DDoS基礎防護	防護標準型雲產品	防護增強型雲產品	DDoS高防
方案簡介	基於阿里雲原生防護網路，不改變來源站點伺服器IP地址，抵禦網路層、傳輸層DDoS攻擊。說明 DDoS原生防護增強型目前僅支援EIP。與標準型不同，增強型為您購買雲產品時DDoS防護策略選擇增強型，而非您購買雲產品後，再購買DDoS原生防護執行個體。			通過DNS解析方式牽引流量到阿里雲全球DDoS清洗中心，抵禦網路層、傳輸層、應用程式層DDoS攻擊，隱藏被保護的來源站點伺服器。
防護能力	低，基於阿里雲上防禦能力，500 Mbps~5 Gbps。詳細內容，請參見DDoS基礎防護黑洞閾值。	較高，基於阿里雲上防禦能力，最高可達幾百Gbps。詳細內容，請參見什麼是DDoS原生防護。	高，基於阿里雲全球DDoS清洗中心能力，最高可達Tbps以上。	高，基於阿里雲全球DDoS清洗中心能力，最高可達Tbps以上。
防護對象	部分阿里雲產品。包含ECS、SLB、EIP（包含綁定NAT Gateway的EIP）、IPv6網關、輕量伺服器、WAF、GA、AnyCastEIP。	部分阿里雲產品。包含ECS、SLB、EIP（包含綁定NAT Gateway的EIP）、IPv6網關、輕量伺服器、WAF、GA、AnyCastEIP。	部分阿里雲產品。目前僅支援DDoS防護增強型EIP。	任意公網IP。
適用情境	購買相應雲產品後，預設開啟。	IP/連接埠數量多。業務頻寬大，且不能改變對外IP。例如，業務頻寬大於1 Gbps，HTTP和HTTPS業務QPS大於5,000。需要極低延遲，保障大流量攻擊時商務持續性。偶爾遭受DDoS攻擊。	IP/連接埠數量多。業務頻寬大，且不能改變對外IP。例如，業務頻寬大於1 Gbps，HTTP和HTTPS業務QPS大於5,000。需要較低延遲，保障大流量攻擊時商務持續性。資產需要Tbps層級的DDoS防護能力。偶爾遭受DDoS攻擊。	遭受攻擊較多且攻防對抗激烈。需要防禦精細化應用程式層CC攻擊。需要改變業務對外IP。
說明	免費。	訂用帳戶購買模式，分為中小企業普惠版、企業版。詳細資料，請參見原生防護2.0（訂用帳戶）。後付費購買模式，詳細資料，請參見原生防護2.0（後付費）。	後付費購買模式，詳細資料，請參見原生防護2.0（後付費）。	版本選擇指導：訪問源、來源站點都在中國內地時，請使用DDoS高防（中國內地）。訪問源、來源站點都在非中國內地時，請使用DDoS高防（非中國內地）中的保險版或無憂版。跨境情境（訪問源在中國內地，來源站點在非中國內地），請使用DDoS高防（非中國內地）中的加速線路+保險版/無憂版，或者安全加速線路。

適合防禦的DDoS攻擊類型

下表中使用的符號說明如下：

√：表示支援防禦
×：表示不支援防禦

攻擊類型	攻擊子類	DDoS原生防護		DDoS高防
攻擊類型	攻擊子類	防護標準型雲產品	防護增強型雲產品	DDoS高防
網路層DDoS攻擊	主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。	√	√	√
傳輸層DDoS攻擊	主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。	√	√	√
應用程式層DDoS攻擊（HTTP/HTTPS）	也稱Web類應用程式層CC攻擊，主要包括HTTP/HTTPS CC、HTTP慢速攻擊（Loic/Hoic/Slowloris/Pyloris/Xoic）等針對HTTP業務的CC攻擊，例如網站、API介面、WebSocket等業務。	×	×	√
應用程式層DDoS攻擊（非HTTP/HTTPS的TCP應用程式層協議）	也稱非Web類應用程式層CC攻擊，主要包括TCP CC、TCP空串連、TCP串連資源消耗攻擊等針對非HTTP業務的基於TCP應用程式層的CC攻擊，例如私人協議、MySQL、MQTT、RTMP等業務。	×	√ 公測中，當前僅支援杭州地區，請通過工單聯絡商務經理申請。	√
應用程式層DDoS攻擊（基於UDP的應用程式層協議）	UDP-CC、NS服務的DNS-Flood等針對UDP業務的CC攻擊，例如NS服務、UDP遊戲業務、UDP語音通話等業務。說明 UDP業務CC防護需要額外購買Managed Security Service，否則不支援。	√ 支援非NS服務的DNS攻擊進行清洗。如需保護NS服務，請使用DNS安全。	√ 支援非NS服務的DNS攻擊進行清洗。如需保護NS服務，請使用DNS安全。	√ 支援非NS服務的DNS攻擊進行清洗。如需保護NS服務，請使用DNS安全。

防護效果說明

由於各類DDoS攻擊不斷更新，不同的DDoS防護解決方案的防護組件、架構、防護能力等不完全一致，且DDoS攻擊情境下有很多業務因素可能會影響DDoS防護的最終效果，我們建議您關注下述可能影響防護效果的情境和業務因素，並按照技術專家積累的攻防對抗經驗提升防護能力。

針對接入後的正常業務流量，DDoS防護解決方案的智能AI防護會有正常業務流量特徵的學習時間，如您剛接入業務就遭受DDoS攻擊或CC攻擊，首次攻擊可能存在瞬時的攻擊透傳，建議您儘可能的提升來源站點負載能力，並按照如下建議進行配置：

DDoS原生防護
- 業務接入後使用預設規則為您防護，在防護過程中針對即時變化的攻擊特徵自動補充防護能力，同時會針對性下發智能AI防護策略，在策略生效前可能存在瞬時的攻擊透傳，建議您提前自訂串列防護、連接埠防護、觸發防護等各類防護策略，提升防護效果。具體操作，請參見防護配置（舊）。
- 攻擊流量未超過預設清洗閾值會導致攻擊透傳，尤其是EIP綁定頻寬包的情況下可能存在預設清洗閾值較大的情況出現，建議您根據正常業務流量大小調整合適的清洗閾值。具體操作，請參見設定流量清洗閾值。
DDoS高防
建議您通過配置合適的業務情境策略（定製情境策略），或者根據結合業務特點自訂頻次防護策略（設定CC安全防護），來提升防護效果。