开发者社区 问答 正文

安全白皮书-产品安全方案-攻击防护



防 DDoS 攻击


当用户使用外网连接和访问 RDS 实例时,可能会遭受 DDoS 攻击。RDS提供流量清洗和黑洞处理功能,完全由系统自动触发和结束。当 RDS 安全体系认为用户实例正在遭受 DDoS 攻击时,会首先启动流量清洗功能,如果流量清洗无法抵御攻击或者攻击达到黑洞阈值,则会进行黑洞处理。



流量清洗


只针对外网流入流量进行清洗,处于流量清洗状态的 RDS 实例可正常访问。
单个 RDS 实例满足以下任一条件即触发流量清洗:

  • PPS(Package Per Second)达到 3 万;
  • BPS(Bits Per Second)达到 180 Mbps;
  • 每秒新建并发连接达到 1 万;
  • 激活并发连接数达到 1 万;
  • 非激活并发连接数达到 10 万。


黑洞处理


只针对外网流入流量进行黑洞处理,处于黑洞状态的 RDS 实例不可被外网访问,此时应用程序通常也处于不可用状态。黑洞处理是保证 RDS 整体服务可用性的一种手段。
黑洞触发条件如下:
  • BPS(Bits Per Second)达到 2 Gbps;
  • 流量清洗无效。

黑洞结束条件如下:
  • 黑洞在 2.5 小时后自动解除。

展开
收起
梨好橙 2018-09-09 23:04:28 1296 分享 版权
阿里云 AI 助理回答

针对您关于RDS实例防DDoS攻击的询问,以下是详细且结构化的解答:

DDoS防护概述

  • 重要性:分布式拒绝服务(DDoS)攻击旨在通过大量恶意流量淹没目标系统,导致服务不可用。对于使用外网连接访问的RDS实例,这是一大威胁。
  • 基本原理:攻击者利用多台计算机(通常是被入侵的设备)同时向目标服务器发送请求,造成网络拥塞或资源耗尽,从而影响正常服务。

防护措施

流量清洗

  • 功能描述:RDS自动启动的流量清洗服务专门针对外网流入的恶意流量进行过滤,确保合法流量可以正常访问数据库。
  • 触发条件
    • PPS(每秒包数)≥ 3万
    • BPS(每秒比特数)≥ 180 Mbps
    • 每秒新建并发连接≥ 1万
    • 激活并发连接数≥ 1万
    • 非激活并发连接数≥ 10万

黑洞处理

  • 目的:在流量清洗无法有效抵御DDoS攻击,或者攻击流量达到更高阈值时,为保护整个RDS服务的可用性,会实施黑洞策略。
  • 触发条件
    • BPS 达到 2 Gbps
    • 流量清洗未能成功阻止攻击
  • 结束机制:一旦实例被黑洞处理,将在2.5小时后自动解除此状态,恢复外部访问能力。

建议与注意事项

  • 内网访问强烈建议通过阿里云内网访问RDS实例,以直接规避DDoS攻击风险。
  • 监控与响应:虽然RDS的DDoS防护是自动的,用户仍应利用阿里云控制台实时监控实例状态,以便在发生异常时快速响应。
  • 配置优化:尽管流量清洗和黑洞策略是自动执行的,了解这些阈值有助于评估应用设计和调整访问模式,避免误触防护机制。

综上所述,RDS实例具备自动化的DDoS防护机制,包括智能的流量清洗和黑洞处理,确保了即使面临大规模攻击,也能最大限度地保障服务可用性。采用内网访问作为最佳实践,可进一步提升安全性。

有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
0 条回答
写回答
取消 提交回答