DDoS基础防护是免费的,并且可有效防止云服务器ECS实例受到恶意程序发起的DDoS攻击。即当流入ECS实例的流量超出实例规格对应的限制时,云安全中心将帮助ECS实例进行限流,以避免出现数据泄露、服务器断开连接和业务无法访问等问题。本文主要介绍DDoS基础防护的功能和原理。
阿里云云安全中心默认为ECS实例免费提供最大5 Gbps的流量攻击防护,不同实例规格的免费防护流量不同,您可以登录云安全中心DDoS防护管理控制台查看实际防护阈值。更多信息,请参见什么是云安全中心和DDoS基础防护黑洞阈值。
DDoS基础防护工作原理
启用DDoS基础防护后,云安全中心会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云安全中心会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程,就是流量清洗。更多信息,请参见什么是DDoS原生防护。
启用了DDoS基础防护的ECS实例,当来自互联网的流量大于5 Gbps时,为保护整个集群的安全,阿里云会让相应ECS实例进入黑洞,丢弃进入该实例的所有流量,屏蔽公网对它的所有访问。更多信息,请参见DDoS防护指南-阿里云黑洞策略。
流量清洗触发条件
流量清洗的触发条件包括:
流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入ECS实例的流量达到设置的阈值时,DDoS基础防护服务将自动对流量进行清洗。
流量清洗方法
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以,在使用DDoS基础防护时,您需要设置以下阈值,具体操作,请参见设置流量清洗阈值。
BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
PPS清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
云服务器ECS的清洗阈值
该功能支持的地域包括华南2(河源)、华南3(广州)、西南1(成都)、华北5(呼和浩特)、华北6(乌兰察布)、中国香港、阿联酋(迪拜)、英国(伦敦)、德国(法兰克福)、菲律宾(马尼拉)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、日本(东京)、美国(弗吉尼亚)、美国(硅谷)和新加坡。
云服务器ECS的清洗阈值由购买的公网带宽和实例规格综合决定,具体计算方式如下表所示。
ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(pps) |
≤300 | MIN(ECS实例规格,450) | MIN(ECS实例规格,10万) |
>300 | MIN(ECS实例规格,ECS实例购买带宽*1.5) | MIN(ECS实例规格,ECS实例购买带宽*1,000) |
BPS清洗阈值和PPS清洗阈值中的ECS产品规格分别参考实例规格族指标数据中的网络带宽列和网络收发包列。
部分实例规格族没有带宽指标,清洗阈值以流量安全产品控制台显示为准。
黑洞阈值以流量安全产品控制台为准。更多信息,请参见DDoS基础防护黑洞阈值。
例如,购买ECS实例规格为ecs.g5.16xlarge,购买带宽为100 Mbps,该实例最大带宽值为20,000 Mbps,最大网络收发包为400万。则清洗阈值计算如下表所示。
ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(PPS) |
100 < 300 | MIN(20,000,450) 最终取值为450。 | MIN(400万,10万) 最终取值为10万。 |
相关文档
云服务器ECS默认开启DDoS基础防护。ECS实例创建后,您可以执行以下操作:
设置清洗阈值:ECS实例创建后,默认按实例规格对应的最大阈值执行DDoS基础防护。但是,部分实例规格的最大清洗阈值(BPS)可能过大,无法起到应有的防护作用,因此,您需要根据实际情况调整清洗阈值。具体操作,请参见DDoS基础防护用户指南-DDoS基础防护设置。
(不推荐)取消流量清洗:当进入ECS实例的流量达到清洗阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗,此时,可能会导致正常业务不可用或受到影响。为了保证正常业务,您可以手动取消流量清洗。具体操作,请参见DDoS基础防护用户指南-如何取消流量清洗。
警告取消流量清洗后,当流入ECS实例的流量超过对应的黑洞阈值(最大为5 Gbps)时,您的ECS实例会进入黑洞。请谨慎操作。
升级使用DDoS高防产品,与传统DDoS攻击安全解决方案相比,阿里云DDoS高防具有部署简便、BGP网络质量高、防护能力强、系统稳定可用、防护精准,以及先进的AI智能防护技术等优势。更多信息,请参见什么是DDoS高防。
有关如何选择DDoS防护产品的信息,请参见如何选择DDoS防护产品。