DDoS基礎防護是免費的,並且可有效防止Elastic Compute Service執行個體受到惡意程式發起的DDoS攻擊。即當流入ECS執行個體的流量超出執行個體規格對應的限制時,Security Center將協助ECS執行個體進行限流,以避免出現資料泄露、伺服器中斷連線和業務無法訪問等問題。本文主要介紹DDoS基礎防護的功能和原理。
阿里雲Security Center預設為ECS執行個體免費提供最大5 Gbps的流量攻擊防護,不同執行個體規格的免費防護流量不同,您可以登入Security CenterDDoS防護管理主控台查看實際防護閾值。更多資訊,請參見什麼是Security Center和DDoS基礎防護黑洞閾值。
DDoS基礎防護工作原理
啟用DDoS基礎防護後,Security Center會即時監控進入ECS執行個體的流量。當監測到超大流量或者包括DDoS攻擊在內的異常流量時,在不影響正常業務的前提下,Security Center會將可疑流量從原始網路路徑中重新導向到淨化產品上,識別並剝離惡意流量,並將還原的合法流量回注到原始網路中轉寄給目標ECS執行個體。這一過程,就是流量清洗。更多資訊,請參見什麼是DDoS原生防護。
啟用了DDoS基礎防護的ECS執行個體,當來自互連網的流量大於5 Gbps時,為保護整個叢集的安全,阿里雲會讓相應ECS執行個體進入黑洞,丟棄進入該執行個體的所有流量,屏蔽公網對它的所有訪問。更多資訊,請參見DDoS防護指南-阿里雲黑洞策略。
流量清洗觸發條件
流量清洗的觸發條件包括:
流量模型的特徵。當流量符合攻擊流量特徵時,就會觸發清洗。
流量大小。DDoS攻擊一般流量都非常大,通常都以Gbps為單位,因此,當進入ECS執行個體的流量達到設定的閾值時,DDoS基礎防護服務將自動對流量進行清洗。
流量清洗方法
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。所以,在使用DDoS基礎防護時,您需要設定以下閾值,具體操作,請參見設定流量清洗閾值。
BPS清洗閾值:當入方向流量超過BPS清洗閾值時,會觸發流量清洗。
PPS清洗閾值:當入方向資料包數超過PPS清洗閾值時,會觸發流量清洗。
Elastic Compute Service的清洗閾值
該功能支援的地區包括華南2(河源)、華南3(廣州)、西南1(成都)、華北5(呼和浩特)、華北6(烏蘭察布)、中國香港、阿聯酋(杜拜)、英國(倫敦)、德國(法蘭克福)、菲律賓(馬尼拉)、馬來西亞(吉隆坡)、印尼(雅加達)、日本(東京)、美國(維吉尼亞)、美國(矽谷)和新加坡。
Elastic Compute Service的清洗閾值由購買的公網頻寬和執行個體規格綜合決定,具體計算方式如下表所示。
ECS執行個體購買頻寬(Mbps) | 最大BPS清洗閾值(Mbps) | 最大PPS清洗閾值(pps) |
≤300 | MIN(ECS執行個體規格,450) | MIN(ECS執行個體規格,10萬) |
>300 | MIN(ECS執行個體規格,ECS執行個體購買頻寬*1.5) | MIN(ECS執行個體規格,ECS執行個體購買頻寬*1,000) |
BPS清洗閾值和PPS清洗閾值中的ECS產品規格分別參考執行個體規格類型系列指標資料中的網路頻寬列和網路收發包列。
部分執行個體規格類型系列沒有頻寬指標,清洗閾值以流量安全產品控制台顯示為準。
黑洞閾值以流量安全產品控制台為準。更多資訊,請參見DDoS基礎防護黑洞閾值。
例如,購買ECS執行個體規格為ecs.g5.16xlarge,購買頻寬為100 Mbps,該執行個體最大頻寬值為20,000 Mbps,最大網路收發包為400萬。則清洗閾值計算如下表所示。
ECS執行個體購買頻寬(Mbps) | 最大BPS清洗閾值(Mbps) | 最大PPS清洗閾值(PPS) |
100 < 300 | MIN(20,000,450) 最終取值為450。 | MIN(400萬,10萬) 最終取值為10萬。 |
相關文檔
Elastic Compute Service預設開啟DDoS基礎防護。ECS執行個體建立後,您可以執行以下操作:
設定清洗閾值:ECS執行個體建立後,預設按執行個體規格對應的最大閾值執行DDoS基礎防護。但是,部分執行個體規格的最大清洗閾值(BPS)可能過大,無法起到應有的防護作用,因此,您需要根據實際情況調整清洗閾值。具體操作,請參見DDoS基礎防護使用者指南-DDoS基礎防護設定。
(不推薦)取消流量清洗:當進入ECS執行個體的流量達到清洗閾值時,無論是否為正常業務流量,Security Center都會啟動流量清洗,此時,可能會導致正常業務不可用或受到影響。為了保證正常業務,您可以手動取消流量清洗。具體操作,請參見DDoS基礎防護使用者指南-如何取消流量清洗。
警告取消流量清洗後,當流入ECS執行個體的流量超過對應的黑洞閾值(最大為5 Gbps)時,您的ECS執行個體會進入黑洞。請謹慎操作。
升級使用DDoS高防產品,與傳統DDoS攻擊安全解決方案相比,阿里雲DDoS高防具有部署簡便、BGP網路品質高、防護能力強、系統穩定可用、防護精準,以及先進的AI智能防護技術等優勢。更多資訊,請參見什麼是DDoS高防。
有關如何選擇DDoS防護產品的資訊,請參見如何選擇DDoS防護產品。