DDoS基礎(chǔ)防護(hù)
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務(wù)造成影響,請務(wù)必仔細(xì)閱讀。
阿里云默認(rèn)為輕量應(yīng)用服務(wù)器免費(fèi)開通DDoS原生防護(hù)基礎(chǔ)版服務(wù)(也稱基礎(chǔ)防護(hù)),有效防止實例受到惡意攻擊,提高輕量應(yīng)用服務(wù)器的防御能力和安全。
背景信息
阿里云DDoS基礎(chǔ)防護(hù)默認(rèn)為輕量應(yīng)用服務(wù)器實例免費(fèi)提供不超過5 Gbps的DDoS攻擊防御能力,您可以登錄DDoS防護(hù)管理控制臺查看實際防護(hù)閾值。更多信息,請參見DDoS基礎(chǔ)防護(hù)黑洞閾值。
DDoS基礎(chǔ)防護(hù)可滿足較低的安全需求,如果您對安全防護(hù)有較高的需求,您可以根據(jù)實際業(yè)務(wù)場景和安全需求開通(以下服務(wù)均收費(fèi))DDoS基礎(chǔ)防護(hù)企業(yè)版和DDoS高防(新BGP、國際),來提供全力防護(hù)能力。更多信息,請參見DDoS概述。
關(guān)于DDoS收費(fèi)服務(wù)的計費(fèi)說明,請參見DDoS產(chǎn)品計費(fèi)。
DDoS基礎(chǔ)防護(hù)工作原理
DDoS基礎(chǔ)防護(hù)為輕量應(yīng)用服務(wù)器提升DDoS攻擊防御能力,當(dāng)流量超出DDoS基礎(chǔ)防護(hù)的默認(rèn)清洗閾值后,自動觸發(fā)流量清洗,實現(xiàn)DDoS攻擊防護(hù)。更多信息,請參見什么是DDoS原生防護(hù)。
當(dāng)輕量應(yīng)用服務(wù)器遭受大流量DDoS攻擊,且攻擊流量的帶寬閾值(BPS)超過了其DDoS防御能力時,為避免更大損害,輕量應(yīng)用服務(wù)器的公網(wǎng)IP地址會進(jìn)入黑洞狀態(tài),阿里云黑洞策略會暫時屏蔽輕量應(yīng)用服務(wù)器的互聯(lián)網(wǎng)入方向流量。更多信息,請參見阿里云黑洞策略。
DDoS基礎(chǔ)防護(hù)在清洗判定中采用了AI智能分析的方法,您可以根據(jù)正常業(yè)務(wù)流量基線,設(shè)置一個清洗閾值。DDoS基礎(chǔ)防護(hù)能夠基于阿里云的大數(shù)據(jù)能力,自學(xué)習(xí)您的業(yè)務(wù)流量基線,并結(jié)合算法識別異常攻擊。
只有當(dāng)AI智能分析檢測到DDoS攻擊且請求流量達(dá)到您設(shè)置的清洗閾值時,DDoS防護(hù)才會觸發(fā)流量清洗,避免了使用固定閾值可能導(dǎo)致的誤清洗。例如:正常業(yè)務(wù)上漲波動超出固定清洗閾值,引起誤清洗。
流量清洗的觸發(fā)條件包括:
流量模型的特征。當(dāng)流量符合攻擊流量特征時,就會觸發(fā)清洗。
流量大小。DDoS攻擊一般流量都非常大,通常都以Gbps為單位,因此,當(dāng)進(jìn)入輕量應(yīng)用服務(wù)器實例的流量達(dá)到設(shè)置的閾值時,無論是否為正常業(yè)務(wù)流量,DDoS防護(hù)都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制數(shù)據(jù)包速度等。所以在使用DDoS基礎(chǔ)防護(hù)時,您需要設(shè)置以下閾值:
攻擊流量的帶寬閾值(BPS):當(dāng)入方向流量超過BPS清洗閾值時,會觸發(fā)流量清洗。
攻擊報文的包轉(zhuǎn)發(fā)率閾值(PPS):當(dāng)入方向數(shù)據(jù)包數(shù)超過PPS清洗閾值時,會觸發(fā)流量清洗。
查看DDoS防護(hù)信息
在左側(cè)導(dǎo)航欄,單擊服務(wù)器。
單擊目標(biāo)服務(wù)器卡片中的實例ID,進(jìn)入服務(wù)器概覽頁面。
如果服務(wù)器較多,可在搜索文本框中,輸入公網(wǎng)IP地址或者實例ID篩選服務(wù)器。
在基本信息區(qū)域中的DDoS攻擊狀態(tài)后,單擊更多信息,進(jìn)入DDoS控制臺。
您可以在DDoS控制臺的資產(chǎn)中心頁面,查看當(dāng)前地域下所有輕量應(yīng)用服務(wù)器的DDoS防護(hù)信息,包括狀態(tài)、防護(hù)能力、清洗閾值。具體操作,請參見資產(chǎn)中心。
相關(guān)操作
創(chuàng)建輕量應(yīng)用服務(wù)器后,您可以根據(jù)實際安全需求執(zhí)行以下操作:
相關(guān)操作 | 說明 |
設(shè)置清洗閾值 | 輕量應(yīng)用服務(wù)器創(chuàng)建后,默認(rèn)按最大清洗閾值執(zhí)行DDoS基礎(chǔ)防護(hù)。但是最大清洗閾值(BPS)過大,可能無法起到應(yīng)有的防護(hù)作用,所以您需要根據(jù)實際情況調(diào)整清洗閾值。具體操作,請參見DDoS基礎(chǔ)防護(hù)設(shè)置。 說明 清洗閾值手動設(shè)置建議如下:
|
取消流量清洗 | 當(dāng)流量達(dá)到清洗閾值時,無論是否為正常業(yè)務(wù)流量,DDoS都會啟動流量清洗,此時,可能會導(dǎo)致正常業(yè)務(wù)不可用或受影響。為了保證正常業(yè)務(wù),您可以手動取消流量清洗。具體操作,請參見如何取消流量清洗。 警告 取消流量清洗后,當(dāng)流入輕量應(yīng)用服務(wù)器實例的流量超過對應(yīng)的黑洞閾值時,您的輕量應(yīng)用服務(wù)器實例的公網(wǎng)IP地址會進(jìn)入黑洞,阿里云黑洞策略會暫時屏蔽輕量應(yīng)用服務(wù)器的互聯(lián)網(wǎng)入方向流量,請謹(jǐn)慎操作。更多信息,請參見阿里云黑洞策略。 |