全部产品
Search
文档中心

DDoS 防护:基本概念

更新时间:Dec 03, 2024

本文介绍原生防护的基本概念。

DDoS攻击

DDoS攻击即分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击,主要包含流量型攻击和应用层攻击。

  • 流量型攻击主要是针对网络带宽的攻击,黑客通常利用多个被控制的计算机或者发包机向目标服务器发送大量请求或者数据包,导致网络带宽被阻塞正常业务无法访问。

  • 应用层攻击主要是针对服务器的攻击,通过恶意请求导致服务器的内存被耗尽,或者CPU被内核及应用程序耗尽而导致服务器无法响应业务正常访问请求。

流量清洗

流量清洗是指通过专业的防DDoS设备或者服务对流量进行分析和过滤,将其中的正常流量和攻击流量区分开,并将正常流量回源到服务器,从而减轻服务器压力和风险。

黑洞

黑洞是指当DDoS攻击流量达到清洗服务可承载的最大阈值时,为了保护同网络其他业务的可用性,将所有访问目标IP的流量进行丢弃。关于黑洞的更多信息,请参见阿里云黑洞策略

全力防护

全力防护即依据当前云机房的整体水位尽力抵御DDoS攻击,其防护能力并非固定不变。随着阿里云网络基础设施的持续建设与拓展,原生防护的防护水位也会随之提升,但在遭遇特殊情形致使机房资源紧张时,防护水位也可能会有所下降。DDoS原生防护各类型实例的防护能力,请参见防护能力

防护次数

以5秒颗粒度为一个流量记录点,1分钟共12个记录点,当攻击流量超过N Gbps时开始累积攻击时长(例如图中X+Y),当累积攻击时长超过15分钟(即180个记录点),即为一次全力防护。

image.png

图中红色线条代表公网IP资产入方向的流量。

  • 防护的公网IP资产在中国内地:N=20 Gbps。

  • 防护的公网IP资产在非中国内地:N=10 Gbps。