Anti-DDoS：FAQ

Apa perbedaan antara metode penagihan untuk perlindungan tanpa batas pada Anti-DDoS Origin dan metode penagihan untuk perlindungan burstable pada Anti-DDoS Pro dan Anti-DDoS Premium?

• Anti-DDoS Origin menyediakan kemampuan yang dijelaskan dalam Ketentuan. Saat terjadi serangan, Anti-DDoS Origin secara otomatis mengalokasikan kapasitas mitigasi DDoS maksimum Alibaba Cloud di wilayah instans tersebut untuk memberikan perlindungan tanpa batas. Layanan perlindungan tanpa batas sudah termasuk dalam paket instans Anti-DDoS Origin dan tidak dikenai biaya perlindungan burstable tambahan.

• Biaya perlindungan burstable untuk Anti-DDoS Pro dan Anti-DDoS Premium (daratan Tiongkok) didasarkan pada puncak harian bandwidth perlindungan burstable. Untuk informasi selengkapnya, lihat Penagihan bandwidth perlindungan burstable.

Apa yang harus saya lakukan jika alamat IP yang dilindungi oleh Anti-DDoS Origin masuk ke blackhole?

Apa yang harus saya lakukan jika saya memilih wilayah yang salah saat membeli instansi Anti-DDoS Origin?

Jika alamat IP yang ingin Anda lindungi tidak berada di wilayah yang sama dengan instans Anti-DDoS Origin Anda, hubungi dukungan teknis untuk meminta pengembalian dana. Setelah itu, beli instans Anti-DDoS Origin baru di wilayah yang sesuai.

Apa yang harus saya lakukan jika kapasitas alamat IP instans Anti-DDoS Origin saya penuh saat mencoba menambahkan alamat IP yang dilindungi?

Jika jumlah alamat IP yang ingin Anda lindungi melebihi kuota Number Of IP Addresses That You Want To Protect pada instans Anti-DDoS Origin Anda, Anda dapat meningkatkan Number Of IP Addresses That You Want To Protect untuk instans Anda saat ini atau membeli instans Anti-DDoS Origin baru. Untuk informasi selengkapnya, lihat Peningkatan spesifikasi instans dan Beli instans Anti-DDoS Origin.

Apa yang harus saya lakukan jika menerima kesalahan "IP does not belong to you" saat menambahkan alamat IP yang dilindungi?

Lakukan langkah-langkah pemecahan masalah berikut:

1. Periksa alamat IP yang Anda masukkan dan pastikan benar.

2. Periksa wilayah produk cloud yang sesuai dengan alamat IP yang ingin Anda lindungi. Pastikan wilayah tersebut sama dengan wilayah instans Anti-DDoS Origin Anda.

3. Jika alamat IP yang ingin Anda tambahkan adalah alamat IP WAF, periksa wilayah instans WAF tersebut. Pastikan Anti-DDoS Origin mendukung wilayah tersebut. Untuk informasi lebih lanjut mengenai wilayah yang didukung, lihat Apa itu Anti-DDoS Origin?.

4. Jika alamat IP yang ingin Anda tambahkan adalah alamat IPv6, periksa apakah Bandwidth Internet IPv6 telah diaktifkan. Untuk informasi cara mengaktifkan Bandwidth Internet IPv6 untuk instance ECS, lihat Komunikasi IPv6.

Setelah saya mengaktifkan fitur manajemen multi-akun, bagaimana cara beralih dari perlindungan aset IP publik di akun anggota ke akun manajemen?

Aset dengan alamat IP publik hanya dapat dilindungi oleh satu instans. Untuk beralih dari perlindungan instans di akun anggota ke instans di akun manajemen, Anda harus terlebih dahulu menghapus objek yang dilindungi dari akun anggota, lalu menambahkannya ke akun manajemen. Untuk informasi cara menghapus dan menambahkan objek yang dilindungi, lihat Objek yang dilindungi.

Layanan saya memerlukan Web Application Protection dan Perlindungan DDoS, serta harus mendukung IPv6. Bagaimana cara mencapainya?

Anda dapat menggunakan solusi berikut:

1. Tambahkan situs web Anda ke WAF dan aktifkan fitur perlindungan IPv6 dengan satu klik. Untuk informasi selengkapnya, lihat Ikhtisar onboarding.

   Hal ini melindungi situs web Anda dari serangan yang berasal dari lingkungan IPv6 dan membantu mengamankan server origin Anda terhadap permintaan protokol IPv6. Setelah Anda mengaktifkan fitur perlindungan keamanan IPv6, WAF secara otomatis menerapkan resolusi dual-stack.

2. Beli instans Anti-DDoS Origin dan tambahkan alamat IP instans WAF ke instans Anti-DDoS Origin. Untuk informasi selengkapnya, lihat Objek yang dilindungi.

   Ketika layanan Anda mengalami serangan DDoS, pembersihan lalu lintas akan dipicu secara otomatis. Lalu lintas serangan dibuang, dan hanya lalu lintas layanan sah yang diteruskan ke server origin.

Untuk layanan yang dilindungi oleh Anti-DDoS Origin, kapan saya juga harus menggunakan Anti-DDoS Pro dan Anti-DDoS Premium?

Anti-DDoS Origin secara langsung meningkatkan mitigasi terhadap serangan DDoS untuk aset dengan alamat IP publik, seperti ECS Alibaba Cloud, SLB, WAF, dan EIP. Dibandingkan dengan Anti-DDoS Pro dan Anti-DDoS Premium, Anti-DDoS Origin memiliki beberapa keunggulan: Anda tidak perlu mengubah alamat IP, tidak ada batasan jumlah port Lapisan 4 atau nama domain Lapisan 7, penyebarannya sederhana karena cukup menambahkan alamat IP yang dilindungi, serta mendukung IPv6.

Namun, Anti-DDoS Origin memiliki keterbatasan. Layanan ini terutama memberikan perlindungan terhadap serangan distributed denial-of-service (DDoS) Lapisan 3 dan Lapisan 4. Kemampuan perlindungan tanpa batas dibatasi oleh kapasitas keseluruhan jaringan pusat data. Jika lalu lintas serangan melebihi tingkat perlindungan keseluruhan jaringan pusat data atau jika Anda mengalami serangan CC, Anti-DDoS Origin mungkin tidak memberikan perlindungan keamanan yang cukup. Dalam kasus ini, Anda perlu meningkatkan ke Anti-DDoS Pro dan Anti-DDoS Premium untuk meningkatkan kemampuan mitigasi Anda.

Anda juga dapat menggunakan Anti-DDoS Origin bersama Anti-DDoS Pro dan Anti-DDoS Premium. Dengan menerapkan aturan interaksi Pengelola Lalu Lintas Keamanan (Sec-Traffic Manager), Anda dapat menerapkan perlindungan bertingkat. Pendekatan ini meningkatkan kemampuan mitigasi DDoS sekaligus memastikan pengalaman lancar bagi pengguna sah. Jika serangan DDoS tidak melebihi kemampuan mitigasi Anti-DDoS Origin, lalu lintas layanan diteruskan ke produk cloud secara default tanpa menambah latensi. Jika serangan besar memicu routing blackhole, Sec-Traffic Manager mengalihkan lalu lintas ke Anti-DDoS Pro atau Anti-DDoS Premium untuk mempertahankan diri dari serangan volumetrik. Peralihan ini menambah latensi sekitar 20 ms. Setelah serangan berhenti, lalu lintas layanan kembali ke produk cloud setelah penundaan yang dapat Anda konfigurasi di Sec-Traffic Manager.

Apa keunggulan teknis utama EIP terintegrasi dengan Anti-DDoS Proxy? Apa skenario bisnis yang cocok?

Alibaba Cloud menyediakan solusi seperti Anti-DDoS Origin serta Anti-DDoS Pro dan Anti-DDoS Premium untuk melindungi dari serangan DDoS. Anti-DDoS Pro dan Anti-DDoS Premium mampu menangani serangan DDoS tingkat terabit tetapi menimbulkan sedikit latensi layanan. Sementara itu, Anti-DDoS Origin cocok untuk skenario yang memerlukan bandwidth bersih besar dan latensi rendah di berbagai alamat IP, nama domain, dan port, meskipun kemampuan mitigasinya relatif terbatas.

EIP terintegrasi dengan Anti-DDoS Proxy menggunakan mode proxy transparan. Lalu lintas dibersihkan oleh pusat data Anti-DDoS Pro atau Anti-DDoS Premium di tepi jaringan, lalu mencapai server melalui EIP dan Bandwidth Internet Bersama. Solusi ini menggabungkan latensi rendah dan akses semua aset dari Anti-DDoS Origin dengan pertahanan DDoS tingkat terabit dari Anti-DDoS Pro dan Anti-DDoS Premium.

EIP terintegrasi dengan Anti-DDoS Proxy cocok untuk pelanggan yang memerlukan perlindungan terhadap serangan volumetrik dari Anti-DDoS Pro dan Anti-DDoS Premium sekaligus latensi rendah dari Anti-DDoS Origin. Skenario-skenario ini ditandai dengan perlindungan semua aset, banyak port, latensi rendah, dan serangan volumetrik. Contohnya termasuk game berkualitas tinggi dan industri distribusi game.

Apa itu pembersihan lalu lintas? Bagaimana Anti-DDoS Origin melakukan pembersihan lalu lintas?

Pembersihan lalu lintas merupakan lini pertahanan pertama terhadap serangan DDoS. Fitur ini dirancang untuk mendeteksi dan menyaring lalu lintas serangan berbahaya secara akurat.

• Cara kerja: Sistem menyediakan pemantauan waktu nyata 24/7 dan analisis cerdas terhadap lalu lintas internet yang mengalir ke aset Anda. Ketika analisis cerdas berbasis AI mendeteksi serangan DDoS dan lalu lintas permintaan mencapai ambang batas pembersihan BPS atau PPS yang Anda tetapkan, Anti-DDoS Origin memicu pembersihan lalu lintas.

• Efek mitigasi: Fitur ini secara akurat memisahkan dan membuang lalu lintas serangan DDoS dari lalu lintas layanan sah Anda. Hal ini memastikan bahwa permintaan akses dari pengguna sah tidak terpengaruh dan layanan Anda tetap tersedia selama serangan. Anda dapat secara fleksibel menetapkan atau membatalkan ambang batas pembersihan berdasarkan karakteristik layanan Anda untuk mencapai keseimbangan terbaik antara sensitivitas perlindungan dan stabilitas layanan.

Untuk informasi selengkapnya, lihat Tetapkan ambang batas pembersihan dan Batalkan Pembersihan Lalu Lintas.

Apa itu black hole? Bagaimana Anti-DDoS Origin menangani black hole?

Routing blackhole adalah langkah perlindungan ekstrem yang digunakan selama serangan skala besar untuk melindungi stabilitas infrastruktur jaringan Alibaba Cloud secara keseluruhan.

• Kondisi pemicu: Ketika lalu lintas serangan puncak terhadap satu alamat IP publik melebihi kemampuan mitigasi maksimum kluster tempat alamat IP tersebut berada (Ambang Pemicu Blackhole), sistem secara otomatis memicu kebijakan penyaringan blackhole. Hal ini mencegah serangan memengaruhi aset pengguna lain.

• Cara kerja: Semua lalu lintas internet masuk ke alamat IP tersebut, termasuk akses sah dan lalu lintas serangan, sementara diblokir. Seolah-olah lalu lintas tersebut jatuh ke dalam "lubang hitam", sehingga alamat IP tersebut tidak dapat diakses dari Internet untuk suatu periode. Ini merupakan mekanisme "pemutusan sirkuit" yang diperlukan. Setelah serangan melemah atau berhenti, Anda dapat secara manual menonaktifkan penyaringan blackhole di Konsol Anti-DDoS Origin untuk segera memulihkan akses jaringan publik untuk aset tersebut.

Untuk informasi selengkapnya, lihat Kebijakan Penyaringan Blackhole Alibaba Cloud dan Nonaktifkan Penyaringan Blackhole.