DDoS基础防护是免费的,防护对象包括ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA等云产品。可有效防止云服务器ECS实例受到恶意程序发起的DDoS攻击。即当流入ECS实例的流量超出实例规格对应的限制时,云安全中心将帮助ECS实例进行限流,以避免出现数据泄露、服务器断开连接和业务无法访问等问题。下文为大家介绍DDoS基础防护的功能和原理。
一、DDoS流量清洗
启用DDoS基础防护后,云安全中心会实时监控进入ECS实例的数据流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云安全中心会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程,就是流量清洗,能够有效清除异常流量,确保网络服务的稳定性和安全性。
二、DDoS基础防御能力
购买阿里云的部分公网IP资产后,默认具有500 Mbps~5 Gbps的免费的DDoS基础防护能力。DDoS基础防护能力与资产所在地域及规格有关。由于各类DDoS攻击不断更新,不同的DDoS防护解决方案的防护组件、架构、防护能力等不完全一致,且DDoS攻击场景下有很多业务因素可能会影响DDoS防护的最终效果,我们建议您关注下述可能影响防护效果的场景和业务因素,并按照技术专家积累的攻防对抗经验提升防护能力。
针对接入后的正常业务流量,DDoS防护解决方案的智能AI防护会有正常业务流量特征的学习时间,如您刚接入业务就遭受DDoS攻击或CC攻击,首次攻击可能存在瞬时的攻击透传,建议您尽可能的提升源站负载能力。产品可参考:https://www.aliyun.com/product/security/ddos
三、流量清洗触发条件
流量清洗是指在遭受DDoS攻击时,通过DDoS基础防护对网络流量进行实时监测、分析和过滤,将恶意攻击流量从正常流量中分离出来,并进行阻断或丢弃,只让合法的正常流量到达目标服务器,从而保障服务器的正常运行和网络服务的可用性。
DDoS基础防护在清洗判定中除了基于您设置的BPS/PPS清洗阈值外,还采用了AI智能分析的方法,基于阿里云的大数据能力,自学习您的业务流量基线,并结合算法识别异常攻击。只有当AI智能分析检测到DDoS攻击,且请求流量达到您设置的BPS或PPS清洗阈值时,DDoS防护才会触发流量清洗,避免了使用固定阈值可能导致的误清洗(例如,正常业务上涨波动超出固定清洗阈值,引起误清洗)。
流量清洗的触发条件包括:
- 流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
- 流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入ECS实例的流量达到设置的阈值时,DDoS基础防护服务将自动对流量进行清洗。
流量清洗方法
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以,在使用DDoS基础防护时,您需要设置以下阈值,具体操作。
第一种:调整单个资产清洗阈值
1.登录流量安全控制台的资产中心页面,在顶部菜单栏左上角处,选择资产所在地域。
2.单击需要操作的云产品页面,例如ECS。
3.在IP资产列表中,单击目标IP,在IP详情面板,单击清洗设置。
4.在清洗设置面板,为当前目标实例设置清洗阈值并单击确定。
- 系统默认:根据云产品的流量负载自动调整清洗阈值。
- 手动设置:
流量清洗阈值:该阈值不能超过当前云产品实例公网带宽的1.5倍,不能低于60Mbps。
报文清洗阈值:该阈值不能超过当前云产品实例公网PPS规格的1.5倍,不能低于12000pps。
第二种:批量调整资产清洗阈值
1.登录流量安全控制台的防护对象页面。
2.在顶部菜单栏左上角处,选择实例所在资源组和地域。
- 原生防护1.0(包年包月)实例:请选择实例所在地域。
- 原生防护2.0(包年包月)实例、原生防护2.0(后付费)实例:请选择全球。
3.页面上方选择DDoS原生防护实例后,单击批量调整清洗阈值。如下图所示:
4.在清洗阈值页签中,选择资产IP,批量设置流量和报文的清洗阈值。
- 流量清洗阈值:该阈值不能超过当前云产品实例公网带宽的1.5倍,不能低于60Mbps。
- 报文清洗阈值:该阈值不能超过当前云产品实例公网规格pps的1.5倍,不能低于12000pps。
四、云服务器ECS的清洗阈值
云服务器ECS的清洗阈值由购买的公网带宽和实例规格综合决定,具体计算方式如下表所示。
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(pps) |
|---|---|---|
| ≤300 | MIN(ECS实例规格,450) | MIN(ECS实例规格,10万) |
| >300 | MIN(ECS实例规格,ECS实例购买带宽*1.5) | MIN(ECS实例规格,ECS实例购买带宽*1,000) |
例如,购买ECS实例规格为ecs.g5.16xlarge,购买带宽为100 Mbps,该实例最大带宽值为20,000 Mbps,最大网络收发包为400万。则清洗阈值计算如下表所示。
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(PPS) |
|---|---|---|
| 100 < 300 | MIN(20,000,450)最终取值为450。 | MIN(400万,10万)最终取值为10万。 |
最终清洗阈值以流量安全产品控制台显示为准,示例如下图所示。
相关说明:
云服务器ECS默认开启DDoS基础防护。ECS实例创建后,您可以执行以下操作:
- 设置清洗阈值:ECS实例创建后,默认按实例规格对应的最大阈值执行DDoS基础防护。但是,部分实例规格的最大清洗阈值(BPS)可能过大,无法起到应有的防护作用,因此,您需要根据实际情况调整清洗阈值。
- (不推荐)取消流量清洗:当进入ECS实例的流量达到清洗阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗,此时,可能会导致正常业务不可用或受到影响。为了保证正常业务,您可以手动取消流量清洗。
- 升级使用DDoS高防产品,与传统DDoS攻击安全解决方案相比,阿里云DDoS高防具有部署简便、BGP网络质量高、防护能力强、系统稳定可用、防护精准,以及先进的AI智能防护技术等优势。
通过上文相信大家已经对云服务器ECS及其他产品的DDoS基础防御能力有了一定了解,我们选购和使用阿里云服务器也更加放心,目前在阿里云的活动中,既有38元起的轻量应用服务器,也有99元和199元的长效特惠云服务器,同时还有通用算力型u2i、计算型c9i等企业级云服务器有优惠,购买之前可先根据自己账号实名认证情况领取阿里云的各种优惠券,目前阿里云针对学生用户有无门槛优惠券,企业用户则有出海补贴、迁云补贴以及企业上云礼包等优惠券,个人用户也有上云礼包、满减券等,详情可通过阿里云权益中心了解:https://www.aliyun.com/benefit
小结:DDoS基础防护作为免费服务,为多种云产品提供有效防护,防止恶意DDoS攻击。其通过流量清洗,剥离恶意流量,确保网络服务稳定安全;具备500 Mbps~5 Gbps的基础防护能力,且触发条件综合流量模型特征与大小,采用AI智能分析,避免误清洗。云服务器ECS的清洗阈值由公网带宽和实例规格决定,用户可按需设置。此外,用户还可根据需求取消流量清洗或升级使用DDoS高防产品,以获取更强大的防护。
