Topik ini menjawab beberapa pertanyaan umum terkait Anti-DDoS Dasar.
Mengapa Anti-DDoS Dasar tidak melindungi Instance ECS saya terhadap serangan sebesar 20 Mbit/s?
Jika ukuran lalu lintas serangan kurang dari 100 Mbit/s, Anti-DDoS Dasar tidak memberikan perlindungan. Layanan ini disediakan secara gratis. Jika lebar pita layanan cloud lebih rendah dari ambang batas pembersihan minimum sistem dan ukuran lalu lintas serangan berada di antara lebar pita dan ambang batas pembersihan, sistem mungkin mengalami serangan tanpa memicu pembersihan lalu lintas. Kami menyarankan Anda untuk mengoptimalkan server, memasang firewall berbasis host seperti Yunsuo, atau membeli instance Anti-DDoS Proxy guna melindungi dari serangan dengan lebar pita di bawah 100 Mbit/s. Untuk informasi lebih lanjut, lihat Beli instance Anti-DDoS Proxy.
Mengapa saya tidak dapat menonaktifkan penyaringan blackhole secara manual untuk instance Anti-DDoS Dasar?
Serangan DDoS biasanya terjadi selama periode tertentu dan tidak langsung berhenti setelah penyaringan blackhole dinonaktifkan. Durasi serangan DDoS bervariasi untuk setiap kasus. Tim keamanan Alibaba Cloud secara otomatis menentukan durasi penyaringan blackhole berdasarkan hasil analisis algoritma cerdas. Umumnya, penyaringan blackhole berlangsung antara 30 menit hingga 24 jam. Dalam kasus langka, jika serangan DDoS terjadi berulang kali, durasi penyaringan blackhole dapat diperpanjang.
Penyaringan blackhole berlangsung pada jaringan Penyedia Layanan Internet (ISP) dan membuang lalu lintas dari sumber serangan. Hal ini mencegah jaringan keseluruhan dan layanan Anda menjadi tidak tersedia akibat serangan DDoS. Jika Anda menonaktifkan penyaringan blackhole sebelum serangan berhenti, penyaringan blackhole lain akan dipicu. Selama periode antara penonaktifan penyaringan blackhole hingga pemicuan penyaringan baru, serangan tersebut dapat mempengaruhi layanan pengguna lain di cloud. ISP memiliki batasan pada jumlah dan frekuensi penonaktifan penyaringan blackhole. Oleh karena itu, Alibaba Cloud tidak dapat segera menonaktifkan penyaringan blackhole yang dipicu pada layanan Anda.
Meskipun Anda menonaktifkan penyaringan blackhole, serangan DDoS tidak akan berkurang. Flapping yang sering terjadi akibat penyaringan blackhole dapat mempengaruhi stabilitas jaringan. Anda dapat membeli layanan untuk meningkatkan kemampuan mitigasi guna menghindari dampak negatif dari penyaringan blackhole dan ketidaktersediaan layanan. Sebagai contoh, Anda dapat membeli Anti-DDoS Origin atau instance Anti-DDoS Proxy dari Alibaba Cloud, atau layanan mitigasi DDoS dari penyedia pihak ketiga. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Origin? dan Apa itu Anti-DDoS Proxy?.
Apakah saya dapat menggunakan ACL untuk mengurangi serangan DDoS dan mencegah penyaringan blackhole dipicu?
Tidak, Anda tidak dapat menggunakan daftar kontrol akses (ACL) untuk mengurangi serangan DDoS dan mencegah penyaringan blackhole dipicu. ACL hanya berlaku ketika serangan mencapai tepi jaringan Alibaba Cloud tempat server Anda berada. ACL tidak dapat mengurangi serangan DDoS yang diluncurkan dari beberapa botnet dan ditujukan ke server Anda. Ketika serangan DDoS mencapai tepi jaringan Alibaba Cloud tempat server Anda berada, volume serangan jauh melebihi kemampuan mitigasi ACL. Untuk mengurangi serangan DDoS, Anda harus menerapkan kebijakan mitigasi di tepi backbone network Penyedia Layanan Internet (ISP).
Anda dapat menggunakan metode analisis dan penyaringan lalu lintas bersama dengan lebar pita jaringan yang cukup untuk membersihkan lalu lintas serangan. Jika Anda ingin memperluas lebar pita jaringan server Anda ke lebar pita lalu lintas serangan dan menerapkan pusat pembersihan untuk membersihkan lalu lintas serangan, biaya yang dihasilkan oleh perluasan lebar pita dan server yang digunakan untuk pembersihan lalu lintas bisa sangat tinggi. Jika setiap pengguna menerapkan pusat pembersihan, biaya mitigasi keseluruhan akan meningkat secara signifikan.
Sebagai solusi hemat biaya, penyedia layanan cloud menawarkan lebar pita jaringan yang besar dan menerapkan pusat pembersihan di jaringan ISP mereka. Serangan DDoS dibersihkan di pusat pembersihan terdekat dengan lokasi asal serangan. Penyedia layanan cloud menawarkan layanan anti-DDoS berbasis Software-as-a-Service (SaaS) bagi pengguna untuk dibeli. Dengan cara ini, pusat pembersihan dapat digunakan kembali, dan biaya untuk setiap pengguna berkurang.
Mengapa data lalu lintas di konsol Anti-DDoS Origin berbeda dari yang ada di CloudMonitor dan layanan cloud lainnya?
Umumnya, lalu lintas di konsol Anti-DDoS Origin lebih tinggi daripada yang ada di CloudMonitor dan layanan cloud lainnya.
Misalnya, Instance Elastic Compute Service (ECS) Anda sedang diserang DDoS, yang memicu pembersihan lalu lintas ketika lalu lintas mencapai 2,5 Gbit/s. Alibaba Cloud memberi tahu Anda bahwa pembersihan lalu lintas yang disediakan oleh instance Anti-DDoS Dasar telah dipicu. Namun, konsol CloudMonitor menunjukkan bahwa lebar pita arah masuk alamat IP elastis (EIP) yang terkait dengan instance ECS Anda adalah 1,2 Gbit/s selama pembersihan lalu lintas.
Perbedaan ini disebabkan oleh beberapa faktor:
Anti-DDoS Origin mengumpulkan data lalu lintas sebelum pembersihan lalu lintas dipicu, sedangkan CloudMonitor mengumpulkan data lalu lintas setelah pembersihan lalu lintas dipicu.
Anti-DDoS Origin memantau semua lalu lintas jaringan yang ditujukan ke instance ECS Anda, termasuk lalu lintas berbahaya, sedangkan CloudMonitor hanya memantau lalu lintas normal.
Anti-DDoS Origin dan CloudMonitor mengumpulkan data lalu lintas pada interval yang berbeda. Anti-DDoS Origin mengumpulkan data lalu lintas dalam interval detik untuk mendeteksi serangan DDoS lebih awal, sedangkan CloudMonitor mengumpulkan data lalu lintas EIP dalam interval menit dan menampilkan data dalam grafik di konsol CloudMonitor.
Anti-DDoS Origin dan CloudMonitor mengumpulkan data lalu lintas dari sumber yang berbeda. Anti-DDoS Origin mengumpulkan data lalu lintas EIP dari perangkat gateway perbatasan antara Alibaba Cloud dan Internet, sedangkan CloudMonitor mengumpulkan data lalu lintas EIP dari perangkat yang meneruskan lalu lintas.
Perbedaan data lalu lintas dapat terjadi pada layanan Alibaba Cloud seperti ECS, Server Load Balancer (SLB), EIP, dan NAT Gateway, yang merupakan Infrastructure as a Service (IaaS) dan mendukung akses Internet.