DDoS基础防护(1)

DDoS基础防护服务可以有效防止云服务器ECS实例受到恶意攻击，从而保证ECS系统的稳定，即当流入ECS实例的流量超出实例规格对应的限制时，云盾就会帮助ECS实例限流，避免ECS系统出现问题。

阿里云云盾默认为ECS实例免费提供最大5 Gbit/s恶意流量攻击，不同实例规格的免费防护流量不同，您可以登录云盾DDoS防护管理控制台查看实际防护阈值，详情请参见 云盾DDoS基础防护黑洞阈值。

DDoS基础防护工作原理

启用DDoS基础防护后，云盾会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时，在不影响正常业务的前提下，云盾会将可疑流量从原始网络路径中重定向到净化产品上，识别并剥离恶意流量，并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程，就是 流量清洗。更详细的信息，请参见 DDoS防护-产品架构。

	说明
	启用了DDoS基础防护的ECS实例，当来自互联网的流量大于5 Gbit/s时，为保护整个集群的安全，阿里云会让相应ECS实例进入黑洞，丢弃进入该实例的所有流量，屏蔽公网对它的所有访问。详细信息，请参见 DDoS防护指南 -阿里云黑洞策略。

流量清洗的触发条件包括：

• 流量模型的特征。当流量符合攻击流量特征时，就会触发清洗。
• 流量大小。DDoS攻击一般流量都非常大，通常都以Gbit/s为单位，因此，当进入ECS实例的流量达到设置的阈值时，无论是否为正常业务流量，云盾都会启动流量清洗。

流量清洗的方法包括：过滤攻击报文、限制流量速度、限制数据包速度等。

所以，在使用DDoS基础防护时，您需要设置以下阈值：

• BPS清洗阈值：当入方向流量超过BPS清洗阈值时，会触发流量清洗。
• PPS清洗阈值：当入方向数据包数超过PPS清洗阈值时，会触发流量清洗。