全部产品
Search

搜索本产品

    DDoS 防护:如何选择DDoS防护产品

    文档中心

    DDoS 防护:如何选择DDoS防护产品

    更新时间:Mar 03, 2026

    阿里云DDoS防护产品矩阵旨在保护您的业务免受各类DDoS攻击,确保业务的连续性和稳定性。面对不同类型的攻击和多样的业务场景,选择合适的防护方案至关重要。本文将作为您的决策指南,帮助您快速理解核心概念,通过场景化选型路径,找到最适合您业务的DDoS防护产品。

    核心概念

    理解以下核心概念,是作出正确选型决策的基础。

    关键术语

    术语

    解释

    DDoS攻击

    全称为分布式拒绝服务攻击(Distributed Denial of Service attack),是一种常见的网络安全攻击方式。这种攻击形式主要通过恶意流量消耗网络或网络设备的资源,从而导致网站无法正常运行或在线服务无法正常提供。更多信息,请参见什么是DDoS攻击

    黑洞

    一种流量屏蔽机制。当针对某个IP的攻击流量超出其基础防护能力时,为保护阿里云整体网络稳定,运营商会将该IP的所有流量(包括正常访问)丢弃,导致该IP上的业务在一段时间内完全中断。购买更高级别的防护服务(如DDoS高防)是解除黑洞的有效方式。

    流量清洗

    通过一系列检测和识别算法,将恶意的攻击流量从正常业务流量中分离并丢弃,仅将干净的业务流量转发回源站服务器,保障业务可用。

    产品定义

    • DDoS基础防护:为部分阿里云产品提供的免费基础防护服务。它能抵御小规模攻击,但防护能力有限(500 Mbps~5 Gbps)。当攻击流量超过阈值时,受攻击的IP将被黑洞,导致业务中断。

    • DDoS原生防护:DDoS原生防护是一款直接提升阿里云产品DDoS防御能力的安全产品,部署简单无需改变网络架构,无需变更业务IP,主要防御三层和四层的流量型DDoS攻击。

    • DDoS高防:DDoS高防是一项代理防护服务它通过DNS解析将业务流量牵引至全球DDoS清洗中心进行清洗,能有效隐藏源站IP,并全面防御网络层、传输层及应用层(包括HTTP/HTTPS CC)的各类DDoS攻击。

    防护方案详解

    说明

    如果需要定制专属的安全解决方案(如超大规格、应用层UDP防护等),可以通过电话咨询商务经理。

    产品对比

    对比维度

    DDoS基础防护

    DDoS原生防护

    DDoS高防

    防护标准型云产品

    防护增强型云产品

    适用场景

    • 对成本敏感

    • 可容忍短暂中断的非核心业务。

    • 攻击规模较小。

    • IP/端口数量多。

    • 业务带宽大(如业务带宽大于1 Gbps,HTTP和HTTPS业务QPS大于5,000),且不能改变对外IP。

    • 需要极低延迟,保障大流量攻击时业务连续性。

    • 偶尔遭受DDoS攻击。

    • 遭受攻击较多且攻防对抗激烈。

    • 需要防御精细化应用层CC攻击。

    • 需要改变业务对外IP。

    计费

    免费。

    仅支持按量付费(后付费),详细信息,请参见原生防护2.0(后付费)

    • 实例费用(预付费):根据选择的保底防护带宽、业务带宽、QPS等规格按月或按年支付。

    • 弹性防护费用(后付费):仅当DDoS攻击流量超过保底防护带宽时,按天根据实际攻击流量峰值计费。

    • 弹性业务带宽/QPS费用(后付费):仅当正常业务流量或QPS超过保底规格时,按日或月95峰值计费。

    • 高级防护资源包: 针对特定实例,还可以按需购买高级防护资源包

    更多说明,请参见产品计费

    核心机制

    云产品内置,流量超阈值后自动触发流量丢弃(黑洞),保障云服务商网络稳定。

    不改变业务IP,直接关联云资源,在攻击超阈值后进行流量清洗。

    通过修改DNS将流量牵引至专用高防中心,所有流量先清洗后转发,保障源站可用性。

    接入方式

    自动开启,无需人工操作。

    在控制台关联防护对象即可。

    需修改DNS解析,将流量指向高防IP。

    防护对象

    部分阿里云产品,

    包含ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA、AnyCastEIP

    部分阿里云产品,

    包含ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA、AnyCastEIP

    目前仅支持DDoS防护增强型EIP。

    任意公网IP。

    防护能力

    低,基于阿里云上防御能力,500 Mbps~5 Gbps。详细内容,请参见DDoS基础防护黑洞阈值

    较高,基于阿里云上防御能力,最高可达几百Gbps。详细内容,请参见什么是DDoS原生防护

    高,基于阿里云全球DDoS清洗中心能力,最高可达Tbps以上。

    高,基于阿里云全球DDoS清洗中心能力,最高可达Tbps以上。

    防御的DDoS攻击类型对比

    攻击类型

    攻击说明

    DDoS原生防护

    DDoS高防

    防护标准型云产品

    防护增强型云产品

    网络层DDoS攻击

    主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。

    支持

    支持

    支持

    传输层DDoS攻击

    主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood、NTP反射、SSDP反射、DNS反射等。

    支持

    支持

    支持

    应用层DDoS攻击(HTTP/HTTPS)

    也称Web类应用层CC攻击,主要包括HTTP/HTTPS CC、HTTP慢速攻击(Loic/Hoic/Slowloris/Pyloris/Xoic)等针对HTTP业务的CC攻击,例如网站、API接口、WebSocket等业务。

    不支持

    不支持

    支持

    应用层DDoS攻击(非HTTP/HTTPS的TCP应用层协议)

    也称非Web类应用层CC攻击,主要包括TCP CC、TCP空连接、TCP连接资源消耗攻击等针对非HTTP业务的基于TCP应用层的CC攻击,例如私有协议、MySQL、MQTT、RTMP等业务。

    不支持

    支持

    说明

    公测中,当前仅支持杭州地域。

    支持

    应用层DDoS攻击(基于UDP的应用层协议)

    UDP-CC、NS服务的DNS-Flood等针对UDP业务的CC攻击,例如NS服务、UDP游戏业务、UDP语音通话等业务。

    重要

    UDP业务CC防护需要额外购买安全管家,否则不支持。

    支持

    说明

    支持对非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全

    防护效果说明

    • DDoS攻击形态在持续演变,DDoS防护方案内置的智能AI引擎,会对正常业务流量进行学习建模,以精准识别攻击。

    • 同时针对业务刚接入就遭受DDoS攻击或CC攻击,可能出现瞬时的攻击透传,提供以下防护配置:

      • DDoS原生防护:

        • 提前自定义串行防护、端口防护、触发防护等各类防护策略,提升防护效果。具体操作,请参见防护配置

        • 根据业务流量调整合适的清洗阈值。具体操作,请参见设置流量清洗阈值

      • DDoS高防: