阿里云DDoS高防IP作为阿里云云安全体系中的核心产品,专为应对大规模DDoS(分布式拒绝服务)攻击及CC攻击等网络威胁而设计。该产品凭借其卓越的防护性能与稳定性,确保网站及业务在遭受大流量攻击时仍能维持正常访问,为用户的在线服务构筑起坚实的安全防线。
一、阿里云DDoS高防IP产品概述
1. 产品定义与适用范围
阿里云DDoS高防IP不仅适用于阿里云主机,同时兼容非阿里云主机的互联网服务器。在服务器面临大流量DDoS攻击导致服务不可用时,用户可通过配置高防IP,将攻击流量引导至高防IP进行清洗,从而确保源站稳定可靠运行。
2. 工作原理详解
用户购买DDoS高防IP服务后,需将域名解析至高防IP(Web业务将域名解析指向高防IP,非Web业务则替换业务IP为高防IP),并配置源站IP。所有公网流量均先经过高防IP机房,通过端口协议转发至源站IP。在此过程中,高防IP对恶意攻击流量进行清洗过滤,仅允许正常流量返回源站IP,确保源站稳定访问。
3. 引流技术方案
DDoS高防IP服务支持BGP与DNS两种引流技术方案,采用被动清洗为主、主动压制为辅的防护方式,对攻击进行综合运营托管,确保用户在攻击环境下依然能够高枕无忧。
4. 防护技术体系
针对DDoS攻击,阿里云DDoS高防IP在传统代理、探测、反弹、认证、黑白名单、报文合规等标准技术基础上,融合了Web安全过滤、信誉评估、七层应用分析、用户行为分析、特征学习、防护对抗等多种先进技术,实现对威胁的精准阻断与过滤。即使在攻击持续状态下,也能确保被防护用户对外提供稳定业务服务。
二、DDoS基础防御能力
购买阿里云的部分公网IP资产后,默认具有500 Mbps~5 Gbps的免费的DDoS基础防护能力。DDoS基础防护能力与资产所在地域及规格有关。由于各类DDoS攻击不断更新,不同的DDoS防护解决方案的防护组件、架构、防护能力等不完全一致,且DDoS攻击场景下有很多业务因素可能会影响DDoS防护的最终效果,我们建议您关注下述可能影响防护效果的场景和业务因素,并按照技术专家积累的攻防对抗经验提升防护能力。
针对接入后的正常业务流量,DDoS防护解决方案的智能AI防护会有正常业务流量特征的学习时间,如您刚接入业务就遭受DDoS攻击或CC攻击,首次攻击可能存在瞬时的攻击透传,建议您尽可能的提升源站负载能力。产品可参考:https://www.aliyun.com/product/security/ddos
三、DDoS攻击类型及阿里云DDoS高防IP防护能力
1. DDoS攻击类型概览
DDoS攻击通过客户/服务器技术,联合多个计算机作为攻击平台,对一个或多个目标发动攻击,显著提升拒绝服务攻击的威力。常见DDoS攻击类型包括:
- 畸形报文攻击:如frag flood、smurf、stream flood、land flood攻击,以及IP畸形包、TCP畸形包、UDP畸形包等。
- 传输层DDoS攻击:如syn flood、ack flood、udp flood、icmp flood、rstflood等。
- Web应用DDoS攻击:如HTTP get flood、HTTP post flood、CC攻击等。
- DNS DDoS攻击:如DNS request flood、DNS response flood、虚假源+真实源DNS query flood、权威服务器和local服务器攻击等。
- 连接型DDoS攻击:如TCP慢速连接攻击、连接耗尽攻击、loic、hoic、slowloris、Pyloris、xoic等慢速攻击。
2. 阿里云DDoS高防IP防护能力
阿里云DDoS高防IP服务基于阿里云自主研发的云盾产品,提供强大的DDoS防护能力。其防护系统已具备T级防护能力,并持续在各地扩容防护节点。该服务可防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等三至七层DDoS攻击。
四、产品架构与核心优势
1. 产品架构解析
阿里云DDoS高防IP服务的产品架构涵盖引流技术、防护技术和清洗服务。引流技术支持BGP与DNS两种方案;防护技术采用被动清洗为主、主动压制为辅的方式;同时,通过专门的高防机房提供DDoS防护服务。
以下是DDoS高防IP服务的网络拓扑示意图:
(左侧为DDoS高防IP防护服务结构,右侧为阿里云提供的免费DDoS防护服务结构。用户购买DDoS高防IP后,所有公网流量均先经过高防机房,通过端口协议转发至源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤。)
2. 产品核心优势
- 海量DDoS攻击防护:阿里云DDoS高防IP成功防御全球最大DDoS攻击,攻击流量达453.8G,有效抵御各类基于网络层、传输层及应用层的DDoS攻击。
- 精准攻击防护:针对交易类、加密类、七层应用、智能终端、在线业务攻击等实现精准防护,确保威胁无处遁形。
- 用户服务资源隐藏:云盾DDoS高防IP服务可更换并隐藏用户站点,使用云盾资源作为源站前置,增加源站安全性。
- 弹性防护性能:DDoS防护性能支持弹性调整,用户可在管理控制台根据实际需求灵活调整防护阈值。
- 高可用性与可靠性:阿里云DDoS高防IP服务在全球多地部署防护节点,确保服务的高可用性和可靠性。
五、价格方案与付费策略
1. 价格方案概览
阿里云DDoS高防IP服务提供多种价格方案,具体价格因防护峰值带宽和购买时长而异。以下为部分价格示例(具体价格请参考阿里云官网):
阿里云DDOS高防IP服务的价格根据防护的峰值带宽不同而有所差异。具体来说,DDoS攻击防护峰值带宽范围在20 Gbps至300 Gbps之间,DDoS原生防护1.0(包年包月)收费标准如下表所示:
| 业务带宽 | <100Mbps | 300Mbps | 500Mbps | 800Mbps | 1Gbps | 1.5Gbps | 2Gbps | 2.5Gbps | 3Gbps |
|---|---|---|---|---|---|---|---|---|---|
| 收费价格 | 561600元/1年 1123200/元2年 1684800元/3年 |
722400元/1年 1444800/元2年 2167200元/3年 |
883200元/1年 1766400元/2年 2649600元/3年 |
1124400元/1年 2248800元/2年 3373200元/3年 |
1285200元/1年 2570400元/2年 3855600元/3年 |
1687200元/1年 3374400元/2年 5061600元/3年 |
2089200元/1年 4178400元/2年 6267600元/3年 |
2491200元/1年 4982400元/2年 7473,600元/3年 |
2893200元/1年 5786400元/2年 8679600元/3年 |
DDoS高防(新BGP)收费标准如下表所示:
| 保底防护带宽 | 30Gb | 60Gb | 100Gb | 300Gb | 400Gb | 500Gb | 600Gb | 800Gb | 1000Gb | 1500Gb |
|---|---|---|---|---|---|---|---|---|---|---|
| 收费价格 | 14560元/1月 29120元/2月 43680元/3月 58240元/4月 72800元/5月 87360元/6月 174720元/1年 349440元/2年 |
32760元/1月 65520元/2月 98280元/3月 131040元/4月 163800元/5月 196560元/6月 176400元/1年 |
53760元/1月 107520元/2月 161280元/3月 215040元/4月 268800元/5月 322560元/6月 229600元/1年 |
67760元/1月 135520元/2月 203280元/3月 271040元/4月 338800元/5月 406560元/6月 369600元/1年 |
105000元/1月 210000元/2月 315000元/3月 420000元/4月 525000元/5月 630000元/6月 677600元/1年 |
257600元/1月 515200元/2月 772800元/3月 1030400元/4月 1288000元/5月 1545600元/6月 2627520元/1年 |
306600元/1月 613200元/2月 919800元/3月 1226400元/4月 1533000元/5月 1839600元/6月 327320元/1年 |
352800元/1月 705600元/2月 1058400元/3月 1411200元/4月 1764000元/5月 2116800元/6月 3578400元/1年 |
428400元/1月 856800元/2月 1285200元/3月 1713600元/4月 2142000元/5月 2570400元/6月 4284000元/1年 |
630000元/1月 1260000元/2月 1890000元/3月 2520000元/4月 3150000元/5月 3780000元/6月 6249600元/1年 |
2. 付费策略灵活性
阿里云DDoS高防IP服务提供按月付费和按天弹性付费两种方案。按天弹性付费方案根据当天攻击规模灵活计费,为用户提供更加经济、高效的选择。
六、使用场景与应用案例分析
1. 典型使用场景
阿里云DDoS高防IP服务主要应用于金融、娱乐(游戏)、媒资、电商、政府等网络安全攻击防护场景。特别是对于对用户业务体验实时性要求较高的业务,如实时对战游戏、页游、在线金融、电商、在线教育、O2O等,建议接入高防IP进行防护。
2. 应用案例分析
某知名电商平台在促销活动期间遭受大规模DDoS攻击,攻击流量瞬间飙升导致平台服务器无法承受,服务出现中断。为应对攻击,该电商平台迅速启用阿里云DDoS高防IP服务,通过配置高防IP将攻击流量引导至高防机房进行清洗过滤。经过阿里云DDoS高防IP服务的防护,恶意攻击流量被有效阻挡,正常访问流量得以顺利到达源站服务器。最终,该电商平台在攻击持续的情况下仍保持了服务的稳定性和可用性,确保了促销活动的顺利进行。
七、配置与使用指南
1. 配置流程详解
配置阿里云DDoS高防IP服务的流程相对简单明了,具体步骤如下:
- 购买服务:登录阿里云官网,选择DDoS高防IP服务进行购买,根据实际需求选择合适的防护峰值带宽和付费方案。
- 域名解析:购买服务后,将域名解析至高防IP(Web业务将域名解析指向高防IP,非Web业务将业务IP替换为高防IP)。
- 配置源站IP:在阿里云管理控制台中配置源站IP信息,以便高防IP服务能够正确地将清洗后的流量转发至源站服务器。
- 设置转发规则:根据业务需求设置相应的转发规则,如基于域名的转发规则、基于端口的转发规则等。
- 开启防护:完成上述配置后,开启DDoS高防IP服务的防护功能。此时,所有公网流量均先经过高防机房进行清洗过滤。
2. 使用注意事项
在使用阿里云DDoS高防IP服务时,用户需注意以下几点:
- 及时更新配置:随着业务的发展和变化,用户需及时更新高防IP服务的配置信息,以确保防护效果的最佳化。包括更新源站IP、调整防护阈值、添加或删除需要保护的域名等。
- 监控攻击情况:阿里云提供了丰富的监控和报警功能,用户可通过管理控制台实时监控攻击情况,并及时采取应对措施。建议设置合理的报警阈值,以便在攻击发生时能够迅速响应。
- 合理设置防护策略:根据实际需求合理设置高防IP的防护策略,包括选择合适的防护模式(如正常模式、宽松模式或严格模式)以及配置相应的防护规则(如IP黑名单、端口过滤、CC防护等)。在设置防护策略时,需权衡防护效果和业务可用性。
- 定期演练与应急准备:为确保在真实攻击发生时能够迅速、有效地应对,用户应定期进行DDoS攻击应急演练。通过模拟攻击场景检验高防IP服务的防护效果以及团队在攻击发生时的响应速度和协作能力。同时制定详细的应急预案,包括攻击发生时的报告流程、责任分工、应对措施等。
- 保持与阿里云的联系:在使用高防IP服务的过程中,用户应保持与阿里云的密切联系。如遇任何问题或疑问,可及时联系阿里云客服或技术支持团队寻求帮助。同时关注阿里云发布的最新产品动态和安全公告,以便及时了解高防IP服务的最新功能和安全更新。
通过上文相信大家已经对阿里云DDoS高防IP产品和阿里云产品的DDoS基础防御能力有了一定了解,我们选购和使用阿里云服务器也更加放心,目前在阿里云的活动中,既有38元起的轻量应用服务器,也有99元和199元的长效特惠云服务器,同时还有通用算力型u2i、计算型c9i等企业级云服务器有优惠,购买之前可先根据自己账号实名认证情况领取阿里云的各种优惠券,阿里云官方会不定期通过云小站平台等地址推出各种实用的优惠券,先领券再购买,可有效降低我们的上云成本。
