全部產品
Search
文件中心

Global Accelerator:DDoS基礎防護

更新時間:Jun 30, 2024

DDoS攻擊是一種針對目標系統的惡意網路攻擊行為,會導致被攻擊者的業務無法正常訪問。阿里雲預設為Global Accelerator執行個體的加速IP和終端節點出公網IP免費開啟DDoS基礎防護,有效防止業務受到惡意攻擊,提高Global Accelerator執行個體的防禦能力和安全。

DDoS基礎防護工作原理

防護能力

Global Accelerator執行個體的加速IP和終端節點出公網IP預設開啟DDoS基礎防護能力,提供不超過5 Gbps的基礎DDoS防護能力。不同地區支援的最大免費防護流量不同:

  • DDoS基礎防護各個地區預設初始黑洞觸發閾值,請參見DDoS基礎防護黑洞閾值

  • Global Accelerator執行個體的實際黑洞閾值與地區及頻寬配置有關,請以資產中心頁面顯示為準。

防護原理

所有來自互連網的流量都要先經過DDoS防護網路再到達Global Accelerator執行個體,DDoS防護網路會即時監控進入Global Accelerator執行個體的流量。當監測到超大流量或者包括DDoS攻擊在內的異常流量時,在不影響正常業務的前提下,DDoS基礎防護會將可疑流量從原始網路路徑中重新導向到清洗裝置上,識別並剝離惡意流量,並將還原的合法流量回注到原始網路中轉寄給目標Global Accelerator執行個體。這一過程,就是流量清洗。更多資訊,請參見什麼是DDoS原生防護

說明

當來自互連網的流量大於DDoS防護能力時,為保護整個叢集的安全,流量將會被黑洞處理,即所有入流量全部被屏蔽。更多資訊,請參見阿里雲黑洞策略

流量清洗的觸發條件包括:

  • 流量模型的特徵。當流量符合攻擊流量模型特徵時,將觸發流量清洗。

  • 流量大小。DDoS基礎防護根據Global Acceleration執行個體的加速IP和終端節點出公網IP的頻寬自動設定清洗閾值,當流量達到設定的閾值時,無論是否為正常業務流量,DDoS基礎防護都會啟動流量清洗。

流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。DDoS基礎防護涉及以下清洗閾值:

  • BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。

  • PPS清洗閾值:入方向資料包數超過了PPS清洗閾值時,觸發清洗。

清洗閾值

Global Accelerator執行個體的加速IP和終端節點出公網IP清洗閾值計算方式如下表所示:

表 1. 最大BPS清洗閾值

IP頻寬(單位:Mbps)

最大BPS清洗閾值(單位:Mbps)

≤300

450

>300

加速IP頻寬值×1.5

表 2. 最大PPS清洗閾值

IP頻寬(單位:Mbps)

最大PPS清洗閾值(單位:pps)

≤100

10萬

>100

加速IP頻寬值×1000

其中,IP頻寬的計算方式如下:

  • 加速IP的IP頻寬:為所屬加速地區分配的頻寬值。

  • 終端節點群組出公網IP的頻寬值與Global Accelerator執行個體付費模式和頻寬計費方式有關。

    付費模式

    頻寬計費方式

    IP頻寬

    訂用帳戶

    按流量計費(CDT統一結算)

    終端節點群組出公網IP頻寬值=Global Acceleration執行個體規格的最大頻寬處理能力

    按頻寬計費(綁定基礎頻寬包)

    終端節點群組出公網IP頻寬值=基礎頻寬包的頻寬峰值

    隨用隨付

    按流量計費(CDT統一結算)

    1200 Mbps

例如,某個標準型Global Accelerator執行個體加速IP所屬加速地區分配頻寬為100 Mbps,綁定基礎頻寬包頻寬峰值為200 Mbps。則:

  • 加速IP防護閾值:最大BPS清洗閾值為450 Mbps,最大PPS清洗閾值為10萬。

  • 終端節點群組出公網IP防護閾值:最大BPS清洗閾值為450 Mbps,最大PPS清洗閾值為20萬。

查看Global Accelerator的防護閾值

  1. 登入Global Acceleration管理主控台

  2. 執行個體列表頁面,單擊執行個體ID。

    說明

    如果您需要查看基礎型Global Accelerator執行個體的防護閾值,還需要在Global Acceleration執行個體控制台左側導覽列,選擇基礎型執行個體進入基礎型Global Accelerator的執行個體列表頁面。

  3. 根據需求選擇查看Global Accelerator執行個體的加速IP或終端節點出公網IP防護閾值。

    說明

    DDoS防護狀態包括:防護中清洗中黑洞中。DDoS防護表徵圖根據DDoS防護狀態不同,顯示顏色不同,具體資訊,可在氣泡中查看。

    查看加速IP防護閾值

    在執行個體詳情頁,單擊加速地區頁簽,找到目標加速IP,在加速 IP安全防護列,將滑鼠移至DDoS防護表徵圖,在彈出的氣泡中,查看加速IP的BPS清洗閾值、PPS清洗閾值、黑洞閾值。

    查看終端節點群組出公網IP防護閾值

    僅標準型Global Accelerator執行個體涉及終端節點群組出公網IP防護閾值。

    1. 在執行個體詳情頁,單擊監聽頁簽,然後單擊目標終端節點出公網IP所在監聽ID。

    2. 在監聽詳情頁,單擊終端節點群組頁簽,找到目標終端節點出公網IP,將滑鼠移至DDoS防護表徵圖,在彈出的氣泡中,查看終端節點群組出公網IP的BPS清洗閾值、PPS清洗閾值、黑洞閾值。

相關操作

  • 設定清洗閾值Global Accelerator預設按IP頻寬最大閾值執行DDoS基礎防護。但是,部分IP頻寬的最大清洗閾值(BPS)可能過大,無法起到應有的防護作用,所以,您需要根據實際情況調整清洗閾值,具體操作,請參見設定流量清洗閾值

  • 購買其他DDoS防護服務:DDoS基礎防護僅提供基礎安全防護,如果您有更高地安全防護需求,可以選擇購買DDoS原生防護企業版或DDoS高防。具體操作,請參見購買DDoS原生防護執行個體購買DDoS高防執行個體