近源流量压制是指对业务中电信、联通线路的非中国内地流量进行封禁,在靠近攻击源的位置丢弃流量,降低DDoS高防进入黑洞的可能性。每个用户总共拥有10次触发近源流量压制的额度,封禁期间支持随时解除。本文介绍如何设置近源流量压制。
应用场景
当您的DDoS高防实例遭遇特大流量攻击,并且发现攻击流量有超过实例最大防护能力的趋势时,建议您考虑使用近源流量压制。一般情况下,假如海外攻击流量占比30%左右,通过封禁海外流量即可大大缓解防御压力,将攻击规模控制在实例最大防护能力范围内。
区域封禁VS近源流量压制
区域封禁在DDoS高防清洗机房内部实现,在靠近被攻击目标的位置丢弃特定区域的流量(近目的流量封禁)。区域封禁根据源IP的归属地域在DDoS高防中识别过滤,并不能减少进入高防网络的攻击流量,适用于防护连接资源消耗型攻击。更多信息,请参见设置区域封禁。
相比于区域封禁,近源流量压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量,降低DDoS高防进入黑洞的可能性。
策略生效时长
由您自定义,支持15分钟~24小时。
使用限制
仅DDoS高防(中国内地)支持近源流量压制功能,DDoS高防(非中国内地)服务不支持。
一个阿里云账号总共拥有10次封禁机会,封禁一次电信或联通海外流量都会消耗一次额度,不支持增加封禁次数。
前提条件
已购买DDoS高防(中国内地)实例。相关操作,请参见购买DDoS高防实例。
操作步骤
登录DDoS高防控制台。
在顶部导航栏,选择中国内地地域。
在左侧导航栏,选择。
在基础设施DDoS防护页签下,从左侧实例列表中选择要设置的DDoS高防实例。
定位到近源流量压制区域,根据需要执行以下封禁操作:
封禁电信海外流量:单击电信海外后的操作,设置封禁时长后单击确定。
封禁联通海外流量:单击联通海外后的操作,设置封禁时长后单击确定。
说明建议您优先封禁电信海外流量,并观察攻击规模的变化趋势。如果攻击流量还是很大,超过当前防护能力,则可以考虑再封禁联通海外流量。
您可以单击查看封禁信息,查看本次封禁的区域和时间范围。流量封禁期间,您可以单击解封,提前解除对应线路的海外流量封禁。
执行结果
如果近源流量压制失败,您会收到失败提示信息,请根据提示排查问题后再次尝试。如果未出现任何提示信息,则表示近源流量压制已成功。