DDoS攻擊是一種針對目標系統的惡意網路攻擊行為,會導致被攻擊者的業務無法正常訪問。阿里雲免費為NAT Gateway提供最高5 Gbps的DDoS基礎防護,DDoS基礎防護服務可以有效防止DDoS攻擊。
DDoS基礎防護工作原理
NAT Gateway預設開啟DDoS基礎防護能力,提供不超過5 Gbps的基礎DDoS防護能力。所有來自互連網的流量都要先經過Apsara Stack Security再到達NAT Gateway執行個體,Apsara Stack Security會針對常見的攻擊進行清洗過濾。更多資訊,請參見什麼是DDoS原生防護。
說明 當來自互連網的流量大於DDoS防護能力時,為保護整個叢集的安全,流量將會被黑洞處理,即所有入流量全部被屏蔽。DDoS基礎防護各個地區預設初始黑洞觸發閾值,請參見DDoS基礎防護黑洞閾值。NAT Gateway執行個體的實際黑洞閾值與所在地區及頻寬有關,請以資產中心頁面顯示為準。
流量清洗的觸發條件包括:
- 流量模型的特徵。當流量符合攻擊流量模型特徵時,將觸發流量清洗。
- 流量大小。DDoS基礎防護根據NAT Gateway執行個體的頻寬自動設定清洗閾值,當流量達到設定的閾值時,無論是否為正常業務流量,Apsara Stack Security都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。DDoS基礎防護涉及以下清洗閾值:
BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。
PPS清洗閾值:入方向資料包數超過了PPS清洗閾值時,觸發清洗。
清洗閾值
NAT Gateway的清洗閾值計算方式如下表所示:
| EIP執行個體頻寬(單位:Mbps) | 最大BPS清洗閾值(單位:Mbps) | 最大PPS清洗閾值(單位:pps) |
| ≤300 | 450 | 10萬 |
| >300 | EIP執行個體頻寬值×1.5 | EIP執行個體頻寬值×1000 |
例如,EIP頻寬為1000 Mbps,則最大BPS清洗閾值為1500 Mbps,最大PPS清洗閾值為100萬。
當EIP執行個體綁定雲資源後,清洗閾值會有所變化,請以DDoS防護產品控制台的資產中心頁面顯示為準。更多資訊,請參見資產中心。