近源流量壓制是指對業務中電信、聯通線路的非中國內地流量進行封禁,在靠近攻擊源的位置丟棄流量,降低DDoS高防進入黑洞的可能性。每個用戶總共擁有10次觸發近源流量壓制的額度,封禁期間支持隨時解除。本文介紹如何設置近源流量壓制。
應用場景
當您的DDoS高防實例遭遇特大流量攻擊,并且發現攻擊流量有超過實例最大防護能力的趨勢時,建議您考慮使用近源流量壓制。一般情況下,假如海外攻擊流量占比30%左右,通過封禁海外流量即可大大緩解防御壓力,將攻擊規模控制在實例最大防護能力范圍內。
區域封禁VS近源流量壓制
區域封禁在DDoS高防清洗機房內部實現,在靠近被攻擊目標的位置丟棄特定區域的流量(近目的流量封禁)。區域封禁根據源IP的歸屬地域在DDoS高防中識別過濾,并不能減少進入高防網絡的攻擊流量,適用于防護連接資源消耗型攻擊。更多信息,請參見設置區域封禁。
相比于區域封禁,近源流量壓制一般通過運營商骨干網核心路由器,在靠近攻擊源的位置丟棄特定區域的流量,降低DDoS高防進入黑洞的可能性。
策略生效時長
由您自定義,支持15分鐘~24小時。
使用限制
僅DDoS高防(中國內地)支持近源流量壓制功能,DDoS高防(非中國內地)服務不支持。
一個阿里云賬號總共擁有10次封禁機會,封禁一次電信或聯通海外流量都會消耗一次額度,不支持增加封禁次數。
前提條件
已購買DDoS高防(中國內地)實例。相關操作,請參見購買DDoS高防實例。
操作步驟
登錄DDoS高防控制臺。
在頂部導航欄,選擇中國內地地域。
在左側導航欄,選擇
。在基礎設施DDoS防護頁簽下,從左側實例列表中選擇要設置的DDoS高防實例。
定位到近源流量壓制區域,根據需要執行以下封禁操作:
封禁電信海外流量:單擊電信海外后的操作,設置封禁時長后單擊確定。
封禁聯通海外流量:單擊聯通海外后的操作,設置封禁時長后單擊確定。
說明建議您優先封禁電信海外流量,并觀察攻擊規模的變化趨勢。如果攻擊流量還是很大,超過當前防護能力,則可以考慮再封禁聯通海外流量。
您可以單擊查看封禁信息,查看本次封禁的區域和時間范圍。流量封禁期間,您可以單擊解封,提前解除對應線路的海外流量封禁。
執行結果
如果近源流量壓制失敗,您會收到失敗提示信息,請根據提示排查問題后再次嘗試。如果未出現任何提示信息,則表示近源流量壓制已成功。