DDoS攻擊是一種針對目標系統的惡意網路攻擊行為,會導致被攻擊者的業務無法正常訪問。阿里雲免費為Elastic IP Address (EIP)提供不超過5 Gbps的DDoS基礎防護。
DDoS基礎防護工作原理
EIP執行個體預設開啟DDoS基礎防護能力,提供不超過5 Gbps的基礎DDoS防護能力。所有來自互連網的流量都要先經過Apsara Stack Security再到達EIP執行個體,Apsara Stack Security會針對常見的攻擊進行清洗過濾。更多資訊,請參見什麼是DDoS原生防護。
當來自互連網的流量大於DDoS防護能力時,為保護整個叢集的安全,流量將會被黑洞處理,即所有入流量全部被屏蔽。DDoS基礎防護各個地區預設初始黑洞觸發閾值,請參見DDoS基礎防護黑洞閾值。EIP執行個體的實際黑洞閾值與所在地區及頻寬有關,請以資產中心頁面顯示為準。
流量清洗的觸發條件包括:
流量模型的特徵。當流量符合攻擊流量模型特徵時,將觸發流量清洗。
流量大小。DDoS基礎防護根據EIP執行個體的頻寬自動設定清洗閾值,當流量達到設定的閾值時,無論是否為正常業務流量,Apsara Stack Security都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。DDoS基礎防護涉及以下清洗閾值:
BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。
PPS清洗閾值:入方向資料包數超過了PPS清洗閾值時,觸發清洗。
清洗閾值
EIP執行個體的清洗閾值計算方式如下表所示:
EIP執行個體頻寬(單位:Mbps) | 最大BPS清洗閾值(單位:Mbps) |
≤300 | 450 |
>300 | EIP執行個體頻寬值×1.5 |
EIP執行個體頻寬(單位:Mbps) | 最大PPS清洗閾值(單位:pps) |
≤100 | 10萬 |
>100 | EIP執行個體頻寬值×1000 |
例如,EIP頻寬為200 Mbps,則最大BPS清洗閾值為450 Mbps,最大PPS清洗閾值為20萬。
當EIP執行個體綁定雲資源後,清洗閾值會有所變化,請以DDoS防護產品控制台的資產中心頁面顯示為準。更多資訊,請參見資產中心。
查看EIP執行個體防護閾值
在頂部功能表列處,選擇EIP執行個體的地區。
在Elastic IP Address頁面,找到目標EIP執行個體,在安全防護列,將滑鼠移至Apsara Stack Security表徵圖,在彈出的氣泡中,查看BPS清洗閾值、PPS清洗閾值、黑洞閾值。