阿里云服务器为了能够更好的保护好每一个用户的云安全,提供免费的DDos防护——DDos基础防护。阿里云云安全中心默认为ECS实例免费提供最大5 Gbps的流量攻击的防护,不同实例规格的免费防护流量不同,用户可以登录云安全中心DDoS防护管理控制台查看实际防护阈值。
一、阿里云服务器DDoS基础防护介绍
DDoS基础防护服务可以有效防止云服务器ECS实例受到恶意攻击,从而保证ECS系统的稳定,即当流入ECS实例的流量超出实例规格对应的限制时,云安全中心就会帮助ECS实例限流,避免ECS系统出现问题。
DDoS基础防护工作原理
启用DDoS基础防护后,云安全中心会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云安全中心会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程,就是流量清洗。产品详细信息:https://www.aliyun.com/product/security/ddos
流量清洗触发条件
流量清洗的触发条件包括:
流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
流量大小。DDoS攻击一般流量都非常大,通常都以Gbps为单位,因此,当进入ECS实例的流量达到设置的阈值时,无论是否为正常业务流量,云安全中心都会启动流量清洗。
流量清洗方法
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。所以,在使用DDoS基础防护时,您需要设置以下阈值:
BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
PPS清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
云服务器ECS的清洗阈值
云服务器ECS的清洗阈值由购买的公网带宽和实例规格综合决定,具体计算方式如下表所示。
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(pps) |
|---|---|---|
| ≤300 | MIN(ECS实例规格,450) | MIN(ECS实例规格,10万) |
| >300 | MIN(ECS实例规格,ECS实例购买带宽*1.5) | MIN(ECS实例规格,ECS实例购买带宽*1,000) |
例如,购买ECS实例规格为ecs.g5.16xlarge,购买带宽为100 Mbps,该实例最大带宽值为20,000 Mbps、最大网络收发包为400万。则清洗阈值计算如下表所示。
| ECS实例购买带宽(Mbps) | 最大BPS清洗阈值(Mbps) | 最大PPS清洗阈值(PPS) |
|---|---|---|
| 100 < 300 | MIN(20,000,450) 最终取值为450。 | MIN(400万,10万) 最终取值为10万。 |
二、DDoS基础防护具体设置方法及黑洞阈值
设置方法
1.登录 云盾管理控制台。并进入自己ECS所在区域。
2.定位到 DDoS防护>基础防护。选择区域及云产品、通过IP搜索,找到您想查看的服务器,单击查看详情。
3.单击DDoS防护高级设置,可设置清洗阈值。
选择自动设置后,系统会根据云服务器的流量负载动态调整清洗阈值。
选择手动设置,可以手动对流量和报文数量的阈值进行设置。当超过此阈值后云盾便会开启流量清洗。(建议在您的网站做推广或者活动时适当调大清洗阈值)
提示: 清洗阈值的设置需要设置成略高于实际访问值。阈值设置过高,起不到防御效果;而设置过低,DDoS基础防护触发流量清洗可能会影响正常的访问。
当网站请求达到设置的清洗阈值时,DDoS基础防护触发的流量清洗可在基础防护查看到清洗信息。如果清洗影响了正常的请求,请适当调高清洗阈值。
三、DDoS基础防护黑洞阈值
DDoS基础防护各个地域默认初始黑洞触发阈值如下表所示。
| 地域 | 支持IPv4 | 支持IPv6 | 1核CPU规格ECS实例、轻量服务器实例 | 2核CPU规格ECS实例 | 4核以上CPU规格ECS实例 | SLB、EIP(含NAT)、WAF实例 |
|---|---|---|---|---|---|---|
| 华东1(杭州) | 500 Mbps | 1 Gbps | 5 Gbps | 5 Gbps | ||
| 华东2(上海) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 华北1(青岛) | 500 Mbps | 1 Gbps | 5 Gbps | 5 Gbps | ||
| 华北2(北京) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 华北3(张家口) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 华北5(呼和浩特) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 华南1(深圳) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 华南2(河源) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 西南1(成都) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 中国香港 | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 日本(东京) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 新加坡 | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 澳大利亚(悉尼) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 马来西亚(吉隆坡) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 印度尼西亚(雅加达) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 印度(孟买) | 500 Mbps | 1 Gbps | 1 Gbps | 1 Gbps | ||
| 韩国(首尔) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 德国(法兰克福) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 英国(伦敦) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 美国(硅谷) | 500 Mbps | 1 Gbps | 2 Gbps | 2 Gbps | ||
| 美国(弗吉尼亚) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps | ||
| 阿联酋(迪拜) | 500 Mbps | 500 Mbps | 500 Mbps | 500 Mbps |
说明
- 此黑洞默认阈值适用于阿里云ECS、SLB、EIP(含NAT)、轻量服务器、WAF实例,且适用于IPv4和IPv6环境的防护,但部分地域暂不支持IPv6防护。
- ECS、SLB、EIP(含NAT)、轻量服务器实例的实际黑洞阈值还与您所购买的实例规格及带宽有关,具体以DDoS防护产品控制台的资产中心页面显示为准。
- WAF实例的黑洞阈值与SLB、EIP(含NAT)实例的黑洞阈值一致。
- 在上表中,对表示支持,错表示不支持。
DDos基础防护及DDoS高防常见问题
问题1:阿里云DDoS防护是否提供免费服务?
提供。阿里云默认为每个阿里云用户开启免费的DDoS原生防护(即原生防护基础版),提供不超过5 Gbps的DDoS基础防护能力。免费的DDoS防护无需您购买、开通和配置。
另外,面向满足条件的企业用户,DDoS高防免费提供不超过1次/年的一天应急防护服务,支持防护不超过100 Gbps的DDoS攻击。
阿里云不能免费帮助用户抵御无限的DDoS攻击。DDoS防御需要成本,其中最大的成本就是带宽费用。带宽由阿里云向电信、联通、移动等运营商购买,运营商在计算带宽费用时不会把DDoS攻击流量扣除掉,而是直接收取阿里云的带宽费用。阿里云DDoS防护为阿里云用户免费防御不超过5 Gbps的DDoS攻击流量,但是当攻击流量超出5 Gbps时,阿里云会屏蔽被攻击IP的流量,从而避免用户产生超额费用。
问题2:是否支持仅在业务被攻击时触发防护且收费,无攻击时不收费的DDoS高防服务?
目前不支持。DDoS高防采用包年包月的计费方式,您需要先购买DDoS高防实例并完成预付费,才能在实例有效期内使用DDoS高防服务。
问题3:阿里云DDoS防护产品是否支持试用?
- DDoS原生防护:您购买的阿里云公网IP资产默认开启了基础版防护(免费),享受不超过5 Gbps的DDoS基础防护能力;DDoS原生防护企业版为付费服务,暂不提供试用服务
注意 企业版基于阿里云网络透明防护,且从基础版升级企业版,网络质量、延时和接入方式都不发生改变,因此建议您使用基础版进行网络测试。
- DDoS高防:由于DDoS高防服务依赖专用机房提供流量清洗服务,成本较高,因此不提供试用服务。但是支持在无DDoS攻击的情况下申请一天PoC试用,测试接入方法和网络效果。
问题4:非阿里云服务器是否能使用DDoS高防服务?
可以使用。DDoS高防(新BGP)和DDoS高防(国际)支持防护具有公网IP的服务器,只要您的业务使用的对外IP为公网IP ,且与阿里云网络公网路由可达,都可以使用DDoS高防服务。
问题5:服务器不在阿里云,域名在阿里云,是否能开通DDoS高防?
可以开通。如需开通DDoS高防(新BGP)防护该域名,必须保证域名已完成ICP备案。
问题6:使用阿里云DDoS高防是否需要完成域名备案?
如果您的域名要接入DDoS高防(新BGP)进行防护,则必须已经完成域名备案;接入DDoS高防(国际)进行防护时,不需要完成域名备案,但是业务必须合法合规。
问题7:DDoS高防服务支持哪些地域?
- DDoS高防(新BGP):适用于您的业务服务器部署在中国内地地域的场景。
- DDoS高防(国际):适用于您的业务服务器部署在中国内地以外地域(包括中国香港等)的场景。
问题8:DDoS高防是否限制接入域名的数量?
是,具体限制如下:
- 每个DDoS高防(新BGP)实例默认支持添加50个域名接入配置,且使用的不同一级域名(站点)数量不超过5个。
- 每个DDoS高防(国际)实例默认支持添加10个域名接入配置,且使用的不同一级域名(站点)数量不超过1个。
问题9:DDoS高防是否支持泛域名?
支持。DDoS高防的域名接入配置中支持使用泛域名。
泛域名解析指利用通配符(星号)作为次级域名,以实现所有的次级域名均指向同一个IP。 例如,为www.aliyundoc.com配置泛域名解析后,访问*.aliyundoc.com都将解析到泛域名解析的IP。
问题10:DDoS高防(新BGP)是否对接入端口有限制?
DDoS高防(新BGP)对接入端口没有限制,您可以将80~65535范围内任意端口的Web业务,接入增强功能的DDoS高防(新BGP)实例进行防护。
但是,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。
如果您的Web业务使用了上述高危端口,则业务接入高防后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入高防前,确保Web业务使用其他非高危端口。
问题11:开通DDoS高防(国际)有什么要求吗?
开通DDoS高防(国际)防护网站业务时,您需要准备好域名(域名可以不用备案,但是业务要合规合法);防护非网站业务时,您可以使用端口接入,无特殊要求。
问题12:DDoS高防(新BGP)的保底带宽防护的是所有流量还是仅攻击流量?
DDoS高防(新BGP)的保底带宽防护所有接入DDoS高防(新BGP)实例的业务流量,包含正常业务流量和攻击流量。所有流量经过DDoS高防(新BGP)清洗后,正常的业务流量转发到您的源站服务器,攻击流量被直接拦截。
