Anti-DDoS:FAQ

Mengapa Anti-DDoS Basic tidak melindungi instans ECS saya dari serangan 20 Mbit/s?

Anti-DDoS Basic adalah layanan gratis dengan ambang batas pembersihan minimum sebesar 100 Mbit/s. Ketika lalu lintas serangan melebihi bandwidth instans Anda tetapi masih di bawah 100 Mbit/s, layanan ini mendeteksi serangan namun tidak memicu pembersihan lalu lintas, sehingga instans tetap rentan.

Untuk serangan di bawah 100 Mbit/s, lakukan langkah-langkah berikut secara berurutan:

1. Optimalkan server Anda. Sesuaikan aplikasi agar mampu menangani beban koneksi yang lebih tinggi dan mengurangi risiko kehabisan sumber daya saat mengalami tekanan.

2. Pasang firewall berbasis host. Alat seperti Yunsuo memungkinkan Anda memblokir IP jahat dan membatasi laju koneksi pada level host.

3. Tingkatkan ke tier perlindungan berbayar. Beli instans Anti-DDoS Proxy untuk mendapatkan ambang batas pembersihan yang lebih tinggi dan tingkat perlindungan khusus. Lihat Purchase an Anti-DDoS Proxy instance.

Mengapa saya tidak dapat menonaktifkan penyaringan blackhole secara manual untuk instans Anti-DDoS Basic?

Penyaringan blackhole dijalankan pada jaringan Penyedia Layanan Internet (ISP), bukan langsung pada infrastruktur Alibaba Cloud. Setelah dipicu, penyaringan ini membuang lalu lintas serangan di level ISP untuk melindungi jaringan secara keseluruhan—termasuk penyewa lain yang berbagi infrastruktur yang sama. ISP menetapkan batasan ketat mengenai seberapa sering penyaringan blackhole dapat diangkat, sehingga Alibaba Cloud tidak dapat segera menggantinya atas nama Anda.

Tim keamanan Alibaba Cloud menggunakan algoritma cerdas untuk menentukan kapan aman mengangkat penyaringan blackhole. Dalam kebanyakan kasus, durasinya berkisar antara 30 menit hingga 24 jam. Jika serangan terjadi berulang kali, durasinya akan diperpanjang secara otomatis—mengangkat penyaringan blackhole sebelum serangan berhenti akan memicu peristiwa blackhole baru, yang mengatur ulang penghitung waktu dan memengaruhi penyewa lain di jaringan bersama.

Bahkan jika Anda dapat menonaktifkan penyaringan blackhole, serangan DDoS tetap tidak dapat diatasi. Flapping yang sering akibat penyaringan blackhole memengaruhi stabilitas jaringan.

Untuk menghindari peristiwa blackhole berulang, gunakan layanan dengan tingkat perlindungan khusus. Anti-DDoS Origin menyediakan perlindungan aktif penuh untuk sumber daya Alibaba Cloud. Anti-DDoS Proxy meneruskan lalu lintas melalui pusat pembersihan berkapasitas tinggi.

Dapatkah saya menggunakan ACL untuk mengatasi serangan DDoS dan mencegah penyaringan blackhole?

Tidak, Anda tidak dapat menggunakan daftar kontrol akses (ACL) untuk mengatasi serangan DDoS atau mencegah penyaringan blackhole. ACL hanya berlaku di tepi jaringan Alibaba Cloud tempat server Anda berada. Pada titik tersebut, serangan DDoS yang diluncurkan dari beberapa jaringan bot telah menghabiskan bandwidth hulu—volume yang mencapai tepi jaringan jauh melebihi kapasitas yang dapat ditangani oleh ACL.

Mitigasi DDoS yang efektif memerlukan pusat pembersihan yang ditempatkan di backbone network ISP. Serangan DDoS dibersihkan di pusat pembersihan terdekat dengan lokasi asal serangan, sehingga lalu lintas jahat disaring sebelum mencapai infrastruktur Anda. Penyedia cloud menawarkan layanan ini dalam model perangkat lunak sebagai layanan (SaaS), sehingga infrastruktur pembersihan digunakan bersama oleh banyak pengguna, menjaga biaya per pengguna tetap terjangkau. ACL tidak dapat mereplikasi pertahanan hulu semacam ini.

Mengapa data trafik di konsol Anti-DDoS Origin berbeda dengan CloudMonitor?

Konsol Anti-DDoS Origin hampir selalu menampilkan lalu lintas yang lebih tinggi daripada CloudMonitor selama serangan. Perilaku ini diharapkan karena empat perbedaan cara masing-masing layanan mengumpulkan data:

Sebagai contoh: jika serangan DDoS memicu pembersihan pada 2,5 Gbit/s, CloudMonitor mungkin hanya menampilkan bandwidth masuk sebesar 1,2 Gbit/s—yaitu lalu lintas sah yang tersisa setelah pembersihan.