阿里云默认为轻量应用服务器免费开通DDoS原生防护基础版服务(也称基础防护),有效防止实例受到恶意攻击,提高轻量应用服务器的防御能力和安全。
背景信息
阿里云DDoS基础防护默认为轻量应用服务器实例免费提供不超过5 Gbps的DDoS攻击防御能力,您可以登录DDoS防护管理控制台查看实际防护阈值。更多信息,请参见DDoS基础防护黑洞阈值。
DDoS基础防护可满足较低的安全需求,如果您对安全防护有较高的需求,您可以根据实际业务场景和安全需求开通(以下服务均收费)DDoS基础防护企业版和DDoS高防(新BGP、国际),来提供全力防护能力。更多信息,请参见DDoS概述。
关于DDoS收费服务的计费说明,请参见DDoS产品计费。
DDoS基础防护工作原理
DDoS基础防护为轻量应用服务器提升DDoS攻击防御能力,当流量超出DDoS基础防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。更多信息,请参见什么是DDoS原生防护。
当轻量应用服务器遭受大流量DDoS攻击,且攻击流量的带宽阈值(BPS)超过了其DDoS防御能力时,为避免更大损害,轻量应用服务器的公网IP地址会进入黑洞状态,阿里云黑洞策略会暂时屏蔽轻量应用服务器的互联网入方向流量。更多信息,请参见阿里云黑洞策略。
DDoS基础防护在清洗判定中采用了AI智能分析的方法,您可以根据正常业务流量基线,设置一个清洗阈值。DDoS基础防护能够基于阿里云的大数据能力,自学习您的业务流量基线,并结合算法识别异常攻击。
只有当AI智能分析检测到DDoS攻击且请求流量达到您设置的清洗阈值时,DDoS防护才会触发流量清洗,避免了使用固定阈值可能导致的误清洗。例如:正常业务上涨波动超出固定清洗阈值,引起误清洗。
流量清洗的触发条件包括:
流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入轻量应用服务器实例的流量达到设置的阈值时,无论是否为正常业务流量,DDoS防护都会启动流量清洗。
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以在使用DDoS基础防护时,您需要设置以下阈值:
攻击流量的带宽阈值(BPS):当入方向流量超过BPS清洗阈值时,会触发流量清洗。
攻击报文的包转发率阈值(PPS):当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
查看DDoS防护信息
访问轻量应用服务器控制台-服务器。
单击目标服务器卡片中的实例ID,进入服务器概览页面。
如果服务器较多,可在搜索文本框中,输入公网IP地址或者实例ID筛选服务器。
在基本信息区域中的DDoS攻击状态后,单击更多信息,进入DDoS控制台。
您可以在DDoS控制台的资产中心页面,查看当前地域下所有轻量应用服务器的DDoS防护信息,包括状态、防护能力、清洗阈值。具体操作,请参见资产中心。
相关操作
创建轻量应用服务器后,您可以根据实际安全需求执行以下操作:
相关操作 | 说明 |
设置清洗阈值 | 轻量应用服务器创建后,默认按最大清洗阈值执行DDoS基础防护。但是最大清洗阈值(BPS)过大,可能无法起到应有的防护作用,所以您需要根据实际情况调整清洗阈值。具体操作,请参见DDoS基础防护设置。 说明 清洗阈值手动设置建议如下:
|
取消流量清洗 | 当流量达到清洗阈值时,无论是否为正常业务流量,DDoS都会启动流量清洗,此时,可能会导致正常业务不可用或受影响。为了保证正常业务,您可以手动取消流量清洗。具体操作,请参见如何取消流量清洗。 警告 取消流量清洗后,当流入轻量应用服务器实例的流量超过对应的黑洞阈值时,您的轻量应用服务器实例的公网IP地址会进入黑洞,阿里云黑洞策略会暂时屏蔽轻量应用服务器的互联网入方向流量,请谨慎操作。更多信息,请参见阿里云黑洞策略。 |