全球加速DDoS基础防护 - 全球加速

DDoS攻击是一种针对目标系统的恶意网络攻击行为，会导致被攻击者的业务无法正常访问。阿里云默认为全球加速实例的加速IP和终端节点出公网IP免费开启DDoS基础防护，有效防止业务受到恶意攻击，提高全球加速实例的防御能力和安全。

DDoS基础防护工作原理

防护能力

全球加速实例的加速IP和终端节点出公网IP默认开启DDoS基础防护能力，提供不超过5 Gbps的基础DDoS防护能力。不同地域支持的最大免费防护流量不同：

DDoS基础防护各个地域默认初始黑洞触发阈值，请参见DDoS基础防护黑洞阈值。
全球加速实例的实际黑洞阈值与地域及带宽配置有关，请以资产中心页面显示为准。

防护原理

所有来自互联网的流量都要先经过DDoS防护网络再到达全球加速实例，DDoS防护网络会实时监控进入全球加速实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时，在不影响正常业务的前提下，DDoS基础防护会将可疑流量从原始网络路径中重定向到清洗设备上，识别并剥离恶意流量，并将还原的合法流量回注到原始网络中转发给目标全球加速实例。这一过程，就是流量清洗。更多信息，请参见什么是DDoS原生防护。

说明

当来自互联网的流量大于DDoS防护能力时，为保护整个集群的安全，流量将会被黑洞处理，即所有入流量全部被屏蔽。更多信息，请参见阿里云黑洞策略。

流量清洗的触发条件包括：

流量模型的特征。当流量符合攻击流量模型特征时，将触发流量清洗。
流量大小。DDoS基础防护根据全球加速实例的加速IP和终端节点出公网IP的带宽自动设定清洗阈值，当流量达到设置的阈值时，无论是否为正常业务流量，DDoS基础防护都会启动流量清洗。

流量清洗的方法包括：过滤攻击报文、限制流量速度、限制数据包速度等。DDoS基础防护涉及以下清洗阈值：

BPS清洗阈值：入方向流量超过了BPS清洗阈值时，触发清洗。
PPS清洗阈值：入方向数据包数超过了PPS清洗阈值时，触发清洗。

清洗阈值

全球加速实例的加速IP和终端节点出公网IP清洗阈值计算方式如下表所示：

表 1. 最大BPS清洗阈值
IP带宽（单位：Mbps）	最大BPS清洗阈值（单位：Mbps）
≤300	450
＞300	加速IP带宽值×1.5

表 2. 最大PPS清洗阈值
IP带宽（单位：Mbps）	最大PPS清洗阈值（单位：pps）
≤100	10万
＞100	加速IP带宽值×1000

其中，IP带宽的计算方式如下：

加速IP的IP带宽：为所属加速地域分配的带宽值。

终端节点组出公网IP的带宽值与全球加速实例付费模式和带宽计费方式有关。

付费模式	带宽计费方式	IP带宽
包年包月	按流量计费（CDT统一结算）	终端节点组出公网IP带宽值＝全球加速实例规格的最大带宽处理能力
包年包月	按带宽计费（绑定基础带宽包）	终端节点组出公网IP带宽值＝基础带宽包的带宽峰值
按量付费	按流量计费（CDT统一结算）	1200 Mbps

例如，某个标准型全球加速实例加速IP所属加速地域分配带宽为100 Mbps，绑定基础带宽包带宽峰值为200 Mbps。则：

加速IP防护阈值：最大BPS清洗阈值为450 Mbps，最大PPS清洗阈值为10万。
终端节点组出公网IP防护阈值：最大BPS清洗阈值为450 Mbps，最大PPS清洗阈值为20万。

查看全球加速的防护阈值

登录全球加速管理控制台。
在实例列表页面，单击实例ID。
说明
如果您需要查看基础型全球加速实例的防护阈值，还需要在全球加速实例控制台左侧导航栏，选择基础型实例进入基础型全球加速的实例列表页面。
根据需求选择查看全球加速实例的加速IP或终端节点出公网IP防护阈值。
说明
DDoS防护状态包括：防护中、清洗中和黑洞中。DDoS防护图标根据DDoS防护状态不同，显示颜色不同，具体信息，可在气泡中查看。
查看加速IP防护阈值
在实例详情页，单击加速区域页签，找到目标加速IP，在加速 IP或安全防护列，将鼠标移至DDoS防护图标，在弹出的气泡中，查看加速IP的BPS清洗阈值、PPS清洗阈值、黑洞阈值。
查看终端节点组出公网IP防护阈值
仅标准型全球加速实例涉及终端节点组出公网IP防护阈值。
1. 在实例详情页，单击监听页签，然后单击目标终端节点出公网IP所在监听ID。
2. 在监听详情页，单击终端节点组页签，找到目标终端节点出公网IP，将鼠标移至DDoS防护图标，在弹出的气泡中，查看终端节点组出公网IP的BPS清洗阈值、PPS清洗阈值、黑洞阈值。

全球加速：DDoS基础防护

DDoS基础防护工作原理

防护能力

防护原理

清洗阈值

查看全球加速的防护阈值

查看加速IP防护阈值

查看终端节点组出公网IP防护阈值

相关操作