全部产品
Search
文档中心

DDoS 防护:基本概念

更新时间:Oct 23, 2024

本文介绍DDoS防护产品中涉及的几个基本概念,以便于您更好地理解DDoS防护产品。

DDoS攻击

DDoS攻击即分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击,主要包含流量型攻击和应用层攻击。

  • 流量型攻击主要是针对网络带宽的攻击,黑客通常利用多个被控制的计算机或者发包机向目标服务器发送大量请求或者数据包,导致网络带宽被阻塞正常业务无法访问。

  • 应用层攻击主要是针对服务器的攻击,通过恶意请求导致服务器的内存被耗尽,或者CPU被内核及应用程序耗尽而导致服务器无法响应业务正常访问请求。

流量清洗

流量清洗是指通过专业的防DDoS设备或者服务对流量进行分析和过滤,将其中的正常流量和攻击流量区分开,并将正常流量回源到服务器,从而减轻服务器压力和风险。

黑洞

黑洞是指当DDoS攻击流量达到清洗服务可承载的最大阈值时,为了保护同网络其他业务的可用性,将所有访问目标IP的流量进行丢弃。关于黑洞的更多信息,请参见阿里云黑洞策略

Web资源耗尽型攻击

Web资源耗尽型攻击是针对应用层协议(如http、https等)发起的恶意请求攻击,通过模拟真实用户的访问行为,例如登录、注册、搜索等,消耗目标站点的应用资源,导致正常请求无法响应。

连接型攻击

连接型攻击是指针对传输层TCP协议发起的恶意会话攻击,黑客利用多个肉鸡终端向目标网站发送大量TCP请求,消耗目标服务器的连接、CPU、内存等资源,从而导致正常业务无法访问。

流量型攻击

流量型攻击是针对网络带宽的攻击,黑客通常利用多个被控制的计算机或者发包机向目标服务器发送大量请求或者数据包,导致网络带宽被阻塞正常业务无法访问。

全力防护(高防)

DDoS高防的全力防护,是指DDoS高防集群会调用所有可用资源进行尽全力进行防护,但如果攻击超过集群可用的最大水位,仍然有黑洞的风险。更多信息,请参见DDoS高防(中国内地)计费说明

弹性防护

弹性防护是DDoS高防(中国内地)专业版提供的DDoS防御能力。针对DDoS攻击超过保底防护带宽的场景,您可以设置需要DDoS高防(中国内地)帮助您防御的最大DDoS攻击流量阈值(即弹性防护带宽)。当DDoS攻击流量峰值超过保底防护带宽,且小于您设置的弹性防护带宽时,将触发弹性防护,且产生发生攻击当日的弹性防护费用。更多信息,请参见DDoS高防(中国内地)计费说明

高级防护

高级防护是DDoS高防(中国内地)高级版、DDoS高防(非中国内地)保险版、无忧版、安全加速线路、安全加速线路(基础版)防护套餐中提供的DDoS防御能力。高级防护(即无上限全力防护)以成功防御每一次DDoS攻击为目标,整合阿里云当前地域所有高防清洗中心能力,全力保护您的业务。更多信息,请参见DDoS高防(中国内地)计费说明DDoS高防(非中国内地)保险防护和无限防护计费说明DDoS高防(非中国内地)安全加速线路计费说明

当单个高防IP受到的DDoS攻击流量超过5 Gbps时消耗对应实例一次高级防护次数,防护时效为24小时,即24小时内该高防IP遭受的所有DDoS攻击共消耗一次高级防护次数。

Anycast

DDoS高防(非中国内地)采用Anycast通信模式,充分利用全球各地阿里云流量清洗中心的能力作为DDoS高防(非中国内地)服务的资源。Anycast是一种网络地址和路由通信方式。访问Anycast地址的报文可以被路由到该Anycast地址标识的一组特定的服务器主机。

DDoS高防(非中国内地)采用Anycast方式将接收到的流量路由到距离最近且拥有防护能力的清洗中心。通过这种路由方式,即使在面对大流量并发、网络拥塞时,产品会进行调度,优先保障业务可用性,但该场景可能会涉及到数据跨境。详细介绍,请参见数据跨境说明

image.png

Anycast地址可以将接收到的流量路由至多个数据中心。当访问流量到达绑定Anycast地址的IP时,根据所设定的分发方式将流量分发至不同的数据中心。一般情况下,选择分发至距离访问来源最近的数据中心。DDoS高防(非中国内地)在以下地域拥有接入点,帮您接入阿里云。

区域

地域

亚太

中国香港、新加坡、日本、马来西亚、印度尼西亚

北美

美国(硅谷)、美国(弗吉尼亚)

欧洲

英国(伦敦)、德国(法兰克福)

例如,某个DDoS高防(非中国内地)实例的Anycast IP为170.x.x.x,所有阿里云海外地区高防流量清洗中心都宣告了该IP地址的路由。当向该IP地址发送数据包时,数据包会经过一系列路由,并通过查看阿里云海外地区高防流量清洗中心各节点的可用路径,最终将数据包发送至路径最短(即经过最少跳路由)的节点。当某一节点的服务器发生故障导致不可用时,将立即停止宣告已不可用的IP段,数据包将仍然按照距离最短的原则路由至最近的服务节点。

简单来说,一般情况下来自中国香港的用户访问流量默认都将被路由至阿里云中国香港高防流量清洗中心进行处理。