Panduan pengambilan keputusan untuk memilih produk Anti-DDoS yang tepat guna melindungi bisnis Anda dari serangan DDoS.
Gunakan panduan ini untuk memahami konsep dasar perlindungan DDoS dan memilih produk Anti-DDoS yang sesuai dengan skenario Anda. Alibaba Cloud menyediakan matriks produk perlindungan DDoS berjenjang untuk melindungi bisnis Anda dari berbagai jenis serangan DDoS serta menjamin kelangsungan dan stabilitas layanan.
Konsep inti
Pemahaman terhadap konsep inti berikut sangat penting untuk membuat keputusan pemilihan yang tepat.
Istilah kunci
Term | Description |
DDoS attack | Singkatan dari Distributed Denial of Service attack, yaitu metode serangan keamanan siber yang umum. Serangan ini menghabiskan sumber daya jaringan atau perangkat jaringan melalui lalu lintas berbahaya, sehingga mencegah situs web beroperasi secara normal atau layanan online tidak dapat dikirimkan. Untuk informasi lebih lanjut, lihat Ikhtisar serangan DDoS. |
Blackhole | Mekanisme pembersihan lalu lintas. Ketika lalu lintas serangan yang ditujukan ke suatu IP melebihi kapasitas perlindungan dasarnya, penyedia layanan akan membuang seluruh lalu lintas ke IP tersebut (termasuk lalu lintas sah) demi menjaga stabilitas keseluruhan jaringan Alibaba Cloud. Hal ini menyebabkan layanan pada IP tersebut sepenuhnya terganggu untuk sementara waktu. Pembelian Anti-DDoS Proxy menyediakan perlindungan berkapasitas lebih tinggi yang mencegah IP Anda memasuki kondisi blackhole. |
Traffic scrubbing | Melalui serangkaian algoritma deteksi dan identifikasi, lalu lintas serangan berbahaya dipisahkan dari lalu lintas bisnis normal dan dibuang. Hanya lalu lintas bisnis yang bersih yang diteruskan kembali ke server origin, sehingga memastikan ketersediaan layanan. |
Definisi produk
Anti-DDoS Basic: Layanan perlindungan dasar gratis yang disediakan untuk beberapa layanan Alibaba Cloud tertentu. Produk ini mampu mempertahankan serangan skala kecil tetapi memiliki kapasitas perlindungan terbatas (500 Mbps hingga 5 Gbps). Jika lalu lintas serangan melebihi ambang batas, IP yang menjadi target akan memasuki kondisi blackhole, sehingga menyebabkan gangguan layanan.
Anti-DDoS Native: Layanan keamanan yang secara langsung meningkatkan kemampuan pertahanan DDoS layanan Alibaba Cloud. Produk ini mudah diterapkan tanpa perlu mengubah arsitektur jaringan atau mengganti IP bisnis, serta terutama melindungi terhadap serangan DDoS berbasis volume di Lapisan 3 dan Lapisan 4.
Anti-DDoS Proxy: Layanan perlindungan berbasis proxy yang mengarahkan lalu lintas bisnis melalui resolusi DNS ke pusat pembersihan global untuk mitigasi. Produk ini secara efektif menyembunyikan IP server origin dan memberikan perlindungan komprehensif terhadap serangan DDoS di lapisan jaringan, transport, dan aplikasi (termasuk serangan CC HTTP/HTTPS).
Detail strategi perlindungan
Jika Anda memerlukan solusi keamanan khusus (misalnya kapasitas ultra-tinggi atau perlindungan UDP di lapisan aplikasi), hubungi account manager Anda.
Perbandingan produk
Dimensi | Anti-DDoS Basic | Anti-DDoS Native | Anti-DDoS Proxy |
Skenario penerapan |
|
| |
Penagihan | Gratis. |
| |
Mekanisme inti | Terintegrasi langsung pada layanan cloud. Secara otomatis membuang lalu lintas (blackhole) ketika lalu lintas melebihi ambang batas untuk menjamin stabilitas jaringan penyedia cloud. | Diasosiasikan dengan sumber daya cloud tanpa mengubah IP bisnis. Melakukan pembersihan lalu lintas saat serangan melebihi ambang batas. | |
Metode akses | Aktif secara otomatis. Tidak diperlukan tindakan manual. | Asosiasikan objek yang dilindungi di Konsol. | |
Objek yang dilindungi | Pilih Layanan Alibaba Cloud, termasuk ECS, SLB, EIP, dan lainnya. |
| |
Kapasitas perlindungan | Rendah. Berbasis pertahanan on-cloud, 500 Mbps hingga 5 Gbps. Untuk detailnya, lihat Ambang Batas yang Memicu Pemfilteran Blackhole di Anti-DDoS Basic. |
Untuk detailnya, lihat Apa Itu Anti-DDoS Native?. |
Perbandingan jenis serangan DDoS yang dipertahankan
Jenis serangan | Deskripsi | Anti-DDoS Native | Anti-DDoS Proxy | |
Produk cloud standar | Produk cloud tingkat lanjut | |||
Serangan DDoS lapisan jaringan | Mencakup Frag Flood, Smurf, Stream Flood, Land Flood, paket IP rusak, paket TCP rusak, paket UDP rusak, dan lainnya. | |||
Serangan DDoS lapisan transport | Mencakup SYN Flood, ACK Flood, UDP Flood, ICMP Flood, RST Flood, refleksi NTP, refleksi SSDP, refleksi DNS, dan lainnya. | |||
Serangan DDoS lapisan aplikasi (HTTP/HTTPS) | Dikenal juga sebagai serangan Challenge Collapsar (CC) di lapisan aplikasi web. Termasuk CC HTTP/HTTPS dan serangan slow-rate HTTP (LOIC/HOIC/Slowloris/Pyloris/XOIC) yang menargetkan layanan berbasis HTTP seperti situs web, titik akhir API, dan WebSocket. | |||
Serangan DDoS lapisan aplikasi (protokol lapisan aplikasi TCP non-HTTP/HTTPS) | Dikenal juga sebagai serangan CC lapisan aplikasi non-web. Termasuk TCP CC, koneksi TCP kosong, dan serangan kehabisan sumber daya koneksi TCP yang menargetkan layanan berbasis TCP non-HTTP seperti protokol privat, MySQL, MQTT, dan RTMP. |
| Dalam pratinjau publik, saat ini hanya didukung di wilayah China (Hangzhou). | |
Serangan DDoS lapisan aplikasi (protokol lapisan aplikasi berbasis UDP) | Serangan CC yang menargetkan layanan berbasis UDP, seperti serangan UDP-CC dan DNS-Flood terhadap layanan DNS otoritatif, layanan DNS authoritative, layanan game berbasis UDP, dan layanan panggilan suara berbasis UDP. Perlindungan CC bisnis berbasis UDP memerlukan pembelian tambahan Managed Security Service; jika tidak, tidak didukung. | Mendukung pembersihan serangan DNS yang menargetkan layanan DNS non-otoritatif. Untuk melindungi layanan DNS otoritatif, gunakan Keamanan DNS. | ||
Catatan efektivitas perlindungan
Solusi perlindungan DDoS menggunakan mesin AI cerdas yang terus-menerus belajar dari pola lalu lintas bisnis normal untuk mengidentifikasi serangan yang terus berkembang secara akurat.
Ketika bisnis mengalami serangan DDoS atau CC segera setelah onboard, serangan mungkin tidak sepenuhnya dimitigasi selama periode awal pembelajaran garis dasar. Konfigurasi perlindungan berikut tersedia untuk meningkatkan efektivitas perlindungan:
Anti-DDoS Native:
Pra-konfigurasikan berbagai strategi perlindungan seperti perlindungan inline, perlindungan port, dan perlindungan berbasis pemicu untuk meningkatkan efektivitas perlindungan. Untuk informasi lebih lanjut, lihat Pengaturan Mitigasi.
Sesuaikan ambang batas pembersihan berdasarkan lalu lintas bisnis Anda. Untuk informasi lebih lanjut, lihat Atur Ambang Batas Pembersihan Lalu Lintas.