全部产品
Search

搜索本产品

    Anti-DDoS:Solusi mitigasi serangan DDoS

    文档中心

    Anti-DDoS:Solusi mitigasi serangan DDoS

    更新时间:Jan 17, 2026

    Serangan Distributed Denial of Service (DDoS) adalah serangan jaringan berbahaya yang ditujukan pada sistem target. Serangan DDoS sering menyebabkan layanan target tidak tersedia bagi pengguna, yang dikenal sebagai denial of service.

    Jenis serangan umum

    Jenis Serangan

    Metode Umum

    Karakteristik Serangan

    Network-layer attack

    Serangan refleksi UDP, seperti serangan NTP Flood.

    Menggunakan volume trafik tinggi untuk membanjiri bandwidth jaringan target. Hal ini mencegah layanan target merespons permintaan pengguna.

    Transport-layer attack

    Serangan SYN Flood dan serangan banjir koneksi.

    Menghabiskan resource kolam koneksi server hingga menyebabkan denial of service.

    Session-layer attack

    Serangan koneksi SSL-VPN

    Menghabiskan resource sesi SSL server hingga menyebabkan denial of service.

    Application-layer attack

    Serangan Flood DNS, Serangan HTTP Flood (juga dikenal sebagai serangan CC), dan serangan bot dalam game.

    Menghabiskan resource pemrosesan dan komputasi aplikasi server hingga menyebabkan denial of service.

    Solusi

    Penguatan Keamanan Sistem

    • Minimalkan permukaan serangan

      • Tujuan: Mengurangi titik masuk untuk pemindaian dan serangan.

      • Tindakan: Di Konsol ECS, temukan security group yang terkait dengan instans tersebut dan buat aturan security group. Untuk informasi lebih lanjut tentang security group, lihat Buat security group.

      • Contoh: Berikut adalah contoh aturan security group untuk server web:

        • Buka hanya Port 80 dan 443 ke Internet.

        • Buka Port manajemen remote 22 atau 3389 hanya untuk alamat IP tertentu, seperti jaringan kantor Anda.

        • Jika instans Server Load Balancer (SLB) atau instans Anti-DDoS Proxy diterapkan di depan server origin, konfigurasikan security group agar hanya mengizinkan trafik dari rentang alamat IP back-to-origin produk-produk tersebut.

    • Gunakan virtual private cloud (VPC)

      • Tujuan: Mengisolasi jaringan secara logis untuk mencegah penyebaran serangan di dalam jaringan internal.

      • Tindakan: Anda dapat menggunakan virtual private cloud (VPC) untuk membuat jaringan yang terisolasi secara logis. Hal ini membantu mencegah serangan dari mesin yang telah dikompromikan di dalam jaringan internal Anda. Untuk informasi lebih lanjut, lihat Apa itu virtual private cloud (VPC)?.

    • Penguatan keamanan server

      • Tujuan: Meningkatkan kemampuan server dalam menangani serangan lapisan koneksi dan memperlambat penghabisan resource.

      • Tindakan:

        • Peningkatan sistem: Pastikan sistem operasi dan perangkat lunak aplikasi menggunakan versi terbaru. Terapkan patch keamanan segera.

        • Kontrol akses dan layanan:

          • Tinjau sumber akses. Matikan layanan dan port yang tidak diperlukan. Misalnya, server web sebaiknya hanya membuka Port 80.

          • Batasi berbagi file dari jaringan eksternal untuk mencegah berkas inti dimanipulasi.

        • Optimasi kebijakan jaringan:

          • Anda dapat mengonfigurasi kebijakan mitigasi pada router, seperti pembatasan kecepatan (throttling), penyaringan paket, membuang paket dengan alamat sumber palsu, menetapkan ambang batas SYN, serta menonaktifkan siaran ICMP dan UDP.

          • Anda dapat menggunakan firewall perangkat lunak, seperti iptables, untuk membatasi koneksi TCP baru dari alamat IP yang dicurigai berbahaya. Anda juga dapat membatasi jumlah koneksi dan laju transmisi dari alamat IP tersebut.

          • Anda dapat membatasi jumlah koneksi setengah-SYN (SYN half-connections), memperpendek periode timeout-nya, serta membatasi laju trafik tertentu seperti SYN dan ICMP.

        • Pemantauan Log: Periksa secara cermat log sistem perangkat jaringan dan server untuk mendeteksi kerentanan atau tanda-tanda serangan secara cepat.

    Mengoptimalkan arsitektur bisnis

    • Evaluasi kinerja sistematis terhadap arsitektur bisnis

      Sebelum atau setelah penerapan layanan, tim teknis Anda harus menjalankan pengujian kinerja pada arsitektur layanan. Pengujian ini menilai kapasitas throughput arsitektur saat ini dan memberikan metrik kunci untuk perencanaan mitigasi DDoS.

    • Terapkan Server Load Balancer (SLB)

      • Tujuan: Meningkatkan throughput layanan dan menghindari single point of failure dengan mendistribusikan trafik akses pengguna secara merata ke beberapa server. Hal ini mengurangi tekanan pada satu server tertentu.

      • Tindakan: Anda dapat menggunakan instans SLB sebagai titik masuk trafik layanan dan menyambungkan beberapa server ECS ke backend. Untuk informasi lebih lanjut, lihat Aktifkan load balancing untuk layanan IPv4 dengan cepat.

    • Sediakan bandwidth cadangan:

      • Tujuan: Mencegah saturasi bandwidth akibat lonjakan trafik normal atau serangan skala kecil yang dapat mengganggu pengguna biasa.

      • Tindakan: Evaluasi bandwidth puncak harian layanan Anda. Misalnya, Anda dapat memperoleh nilai bandwidth P95 selama 30 hari terakhir dari Cloud Monitor. Kemudian, sediakan kapasitas cadangan, misalnya 50% hingga 100% dari nilai puncak tersebut, sesuai anggaran Anda.

    • Konfigurasikan Auto Scaling:

      • Tujuan: Secara otomatis menambah jumlah server untuk meningkatkan kapasitas pemrosesan ketika serangan lapisan aplikasi, seperti serangan CC, menyebabkan penggunaan CPU atau memori yang tinggi.

        Catatan

        Auto Scaling tidak efektif terhadap serangan lapisan jaringan. Anda dapat menetapkan jumlah maksimum instans untuk mencegah biaya tinggi akibat penskalaan tanpa batas selama serangan.

      • Tindakan: Anda dapat membuat grup penskalaan dan mengonfigurasi aturan penskalaan. Misalnya, "Tambahkan satu instans ECS jika rata-rata penggunaan CPU melebihi 75% selama tiga menit berturut-turut." Untuk informasi lebih lanjut, lihat Apa itu Auto Scaling?.

    • Optimalkan resolusi DNS

      • Tujuan: Mengoptimalkan resolusi DNS dengan penguraian cerdas untuk secara efektif menghindari risiko serangan Flood DNS.

      • Tindakan:

        • Redundansi layanan: Anda dapat meng-host layanan Anda di beberapa penyedia DNS untuk mencapai ketersediaan tinggi dalam resolusi DNS.

        • Penyaringan trafik:

          • Anda dapat membuang respons DNS yang tidak diminta, kueri dari sumber tidak dikenal, dan permintaan burst.

          • Anda dapat membuang paket pengiriman ulang cepat yang tidak normal.

        • Kontrol akses:

          • Anda dapat menerapkan daftar kontrol akses (ACL), BCP38 (validasi alamat sumber), dan fitur penyelidikan reputasi IP untuk membatasi sumber berbahaya.

          • Anda dapat mengaktifkan mekanisme validasi klien DNS.

        • Optimasi efisiensi:

          • Anda dapat mengonfigurasi nilai TTL yang wajar.

          • Anda dapat mengaktifkan caching respons DNS untuk mengurangi beban pada server origin.

    Beli layanan keamanan profesional (opsional)

    Layanan

    Rincian Perlindungan

    Skenario

    Web Application Firewall (WAF)

    Untuk serangan HTTP Flood umum, Anda dapat menggunakan WAF untuk secara efektif mempertahankan diri dari serangan lapisan koneksi, lapisan sesi, dan lapisan aplikasi. Untuk informasi lebih lanjut, lihat Apa itu Web Application Firewall?.

    Layanan HTTP/HTTPS seperti situs web, API, dan halaman H5.

    Anti-DDoS Origin

    Menyediakan perlindungan bersama tanpa batas terhadap serangan DDoS untuk alamat IP produk cloud. Perlindungan langsung berlaku. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Origin?.

    Layanan yang sudah berada di Alibaba Cloud dan ingin meningkatkan kemampuan mitigasi dasar serta menghindari status penyaringan blackhole.

    Anti-DDoS Proxy

    Mempertahankan diri dari serangan volumetrik lapisan jaringan, lapisan transport, dan lapisan aplikasi. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Proxy?.

    Layanan yang rentan terhadap serangan volumetrik skala besar, seperti game, aplikasi keuangan kritis, dan platform E-dagang.

    Siapkan pemantauan layanan

    • Pemantauan Anti-DDoS dasar:

      • Ketika layanan Anda sedang mengalami serangan DDoS, Anti-DDoS Origin Basic secara default mengirimkan peringatan melalui pesan teks dan email.

        Catatan

        Untuk informasi selengkapnya tentang cara mengonfigurasi penerima pesan peringatan , lihat Set up alerting for Anti-DDoS Origin Basic and Anti-DDoS Origin attack events.

      • Di konsol Traffic Security, Anda dapat membuka Event Center untuk memeriksa peristiwa serangan yang sedang berlangsung, jenis serangan, dan puncak trafik.

    • Cloud Monitor: Layanan Cloud Monitor mengumpulkan metrik untuk resource Alibaba Cloud Anda atau metrik kustom. Layanan ini mendeteksi ketersediaan layanan dan memungkinkan Anda menetapkan peringatan untuk metrik tertentu. Untuk informasi lebih lanjut, lihat Apa itu Cloud Monitor?.

    Going live

    Serangan DDoS dapat merusak stabilitas seluruh lingkungan jaringan. Untuk menjaga resource jaringan bersama dan memastikan ketersediaan layanan semua pengguna, perhatikan aturan berikut:

    • Hindari menggunakan atau mengeksploitasi mekanisme produk cloud (seperti OSS, DNS, ECS, SLB, dan EIP) untuk membangun dan menyediakan layanan mitigasi DDoS di cloud.

    • Hindari melepaskan instans yang berada dalam status penyaringan blackhole.

    • Hindari terus-menerus mengganti, melepas, atau menambahkan produk berbasis IP, seperti instans SLB, alamat IP elastis (EIP), dan Gateway NAT, untuk server yang berada dalam status penyaringan blackhole.

    • Hindari membangun pool IP atau mendistribusikan trafik serangan ke banyak alamat IP untuk pertahanan.

    • Hindari menggunakan produk Alibaba Cloud yang tidak dirancang untuk keamanan jaringan, seperti CDN dan OSS, untuk melindungi layanan yang sedang diserang.

    • Hindari menggunakan beberapa akun untuk menghindari aturan di atas.