Matrix produk Anti-DDoS Alibaba Cloud melindungi bisnis Anda dari berbagai jenis serangan DDoS serta menjamin kelangsungan dan stabilitas layanan. Karena skenario bisnis dan karakteristik serangan berbeda-beda, strategi perlindungan yang diperlukan pun beragam. Topik ini menjelaskan konsep inti dan memandu Anda dalam memilih layanan Anti-DDoS yang paling sesuai dengan kebutuhan Anda berdasarkan skenario penggunaan.
Konsep Inti
Pemahaman terhadap konsep-konsep inti berikut sangat penting untuk membuat keputusan yang tepat.
Istilah Kunci
Istilah | Deskripsi |
DDoS attack | Serangan distributed Denial of Service (DDoS) merupakan ancaman keamanan jaringan yang umum. Serangan ini membanjiri jaringan atau perangkat dengan lalu lintas berbahaya hingga menghabiskan sumber daya, sehingga menyebabkan situs web atau layanan online menjadi tidak tersedia. Untuk informasi lebih lanjut, lihat Apa itu serangan DDoS?. |
Blackhole | Mekanisme pemblokiran lalu lintas. Ketika lalu lintas serangan ke suatu alamat IP melebihi kapasitas perlindungan dasarnya, penyedia layanan akan membuang seluruh lalu lintas ke alamat IP tersebut—termasuk lalu lintas sah—untuk melindungi stabilitas keseluruhan jaringan Alibaba Cloud. Hal ini menyebabkan gangguan layanan total selama periode tertentu. Peningkatan ke layanan tingkat lebih tinggi—seperti Anti-DDoS Proxy—merupakan cara paling efektif untuk keluar dari status blackhole. |
Traffic scrubbing | Proses yang menggunakan algoritma deteksi dan identifikasi untuk memisahkan lalu lintas serangan berbahaya dari lalu lintas layanan normal. Lalu lintas berbahaya dibuang, sedangkan hanya lalu lintas bersih yang diteruskan kembali ke server origin. Hal ini menjaga ketersediaan layanan Anda. |
Definisi Produk
Anti-DDoS Basic: Layanan perlindungan bawaan gratis untuk produk-produk Alibaba Cloud tertentu. Melindungi dari serangan skala kecil tetapi memiliki kapasitas mitigasi terbatas (500 Mbps hingga 5 Gbps). Jika lalu lintas serangan melebihi ambang batas ini, IP yang diserang akan masuk ke status blackhole dan layanan Anda terhenti.
Anti-DDoS Origin: Layanan keamanan yang secara langsung meningkatkan kemampuan pertahanan DDoS produk Alibaba Cloud. Diterapkan tanpa mengubah arsitektur jaringan atau alamat IP publik Anda. Terutama melindungi terhadap serangan DDoS volumetrik di Lapisan 3 dan Lapisan 4.
Anti-DDoS Proxy: Layanan perlindungan berbasis proxy. Mengalihkan lalu lintas layanan ke pusat pembersihan anti-DDoS global menggunakan resolusi DNS. Ini menyembunyikan alamat IP asal Anda dan memberikan perlindungan komprehensif terhadap serangan di lapisan jaringan, lapisan transport, dan lapisan aplikasi, seperti serangan banjir HTTP/HTTPS.
Opsi Perlindungan Detail
Jika Anda memerlukan solusi keamanan khusus—seperti perlindungan skala sangat besar atau perlindungan lapisan aplikasi berbasis UDP—hubungi manajer akun Anda melalui telepon.
Perbandingan Produk
Dimensi Perbandingan | Anti-DDoS Basic | Anti-DDoS Origin | Anti-DDoS Proxy | |
Perlindungan untuk Layanan Alibaba Cloud Reguler | Perlindungan Lanjutan untuk Layanan Cloud | |||
Skenario |
|
|
| |
Penagihan | Gratis. |
| Hanya mendukung pay-as-you-go (pascabayar). Untuk detailnya, lihat Anti-DDoS Origin 2.0 (Bayar sesuai pemakaian). |
Untuk informasi lebih lanjut, lihat Penagihan. |
Mekanisme Inti | Terintegrasi dalam layanan cloud. Secara otomatis membuang lalu lintas (blackhole) ketika lalu lintas melebihi ambang batas guna melindungi stabilitas jaringan Alibaba Cloud. | Tidak mengubah IP publik Anda. Langsung dikaitkan dengan sumber daya cloud Anda. Melakukan traffic scrubbing ketika lalu lintas serangan melebihi ambang batas. | Mengalihkan lalu lintas ke pusat Anti-DDoS khusus menggunakan perubahan DNS. Membersihkan seluruh lalu lintas sebelum meneruskannya sehingga menjaga ketersediaan server origin Anda. | |
Jenis Koneksi | Diaktifkan secara otomatis. Tidak diperlukan operasi manual. | Anda dapat mengaitkan objek yang dilindungi di Konsol. | Anda dapat mengubah resolusi DNS Anda agar mengarahkan lalu lintas ke alamat IP Anti-DDoS Proxy. | |
Objek yang Dilindungi | Beberapa produk Alibaba Cloud Layanan Alibaba Cloud tertentu, seperti ECS, SLB, EIP (termasuk EIP yang disambungkan ke NAT Gateway), IPv6 Gateway, Simple Application Server, WAF, GA, dan AnyCast EIP. | Beberapa produk Alibaba Cloud: Layanan Alibaba Cloud tertentu, seperti ECS, SLB, EIP (termasuk EIP yang disambungkan ke NAT Gateway), IPv6 Gateway, Simple Application Server, WAF, GA, dan AnyCast EIP. | Saat ini hanya mendukung EIP dengan Anti-DDoS (Enhanced) yang diaktifkan. | Alamat IP publik apa pun. |
Kemampuan Mitigasi | Rendah. Berdasarkan kapasitas pertahanan bawaan Alibaba Cloud: 500 Mbps hingga 5 Gbps. Untuk informasi lebih lanjut, lihat Ambang Batas yang Memicu Penyaringan Blackhole di Anti-DDoS Basic. | Tinggi. Berdasarkan kapasitas pertahanan bawaan Alibaba Cloud: hingga ratusan Gbps. Untuk informasi lebih lanjut, lihat Apa Itu Anti-DDoS Origin?. | Tinggi. Berdasarkan pusat pembersihan anti-DDoS global Alibaba Cloud: lebih dari 1 Tbps. | Tinggi. Berdasarkan pusat pembersihan anti-DDoS global Alibaba Cloud: lebih dari 1 Tbps. |
Perbandingan Jenis Serangan DDoS yang Dapat Dimitigasi
Jenis Serangan | Deskripsi | Anti-DDoS Origin | Anti-DDoS Proxy | |
Keamanan Standar untuk Layanan Alibaba Cloud | Produk cloud dengan perlindungan lanjutan | |||
Network-layer DDoS Attack | Mencakup Frag Flood, Smurf, Stream Flood, Land Flood, paket IP cacat, paket TCP cacat, dan paket UDP cacat. | |||
Transport-layer DDoS Attack | Mencakup SYN Flood, ACK Flood, UDP Flood, ICMP Flood, RST Flood, refleksi NTP, refleksi SSDP, dan refleksi DNS. | |||
Application-layer DDoS Attack (HTTP/HTTPS) | Juga disebut serangan banjir lapisan aplikasi berbasis Web. Mencakup serangan banjir HTTP/HTTPS dan serangan slow-rate HTTP (seperti LOIC, HOIC, Slowloris, Pyloris, dan Xoic) yang menargetkan layanan berbasis HTTP seperti situs web, operasi API, dan WebSocket. | |||
Application-layer DDoS Attack (Non-HTTP/HTTPS TCP Application-layer Protocols) | Juga disebut serangan banjir lapisan aplikasi non-Web. Mencakup serangan banjir TCP, koneksi TCP kosong, dan serangan kehabisan sumber daya koneksi TCP yang menargetkan layanan non-HTTP. Contohnya termasuk protokol eksklusif, MySQL, MQTT, dan RTMP. | Catatan Dalam pratinjau publik. Hanya tersedia di wilayah China (Hangzhou). | ||
Application-layer DDoS Attack (UDP-based Application-layer Protocols) | Serangan CC yang menargetkan layanan berbasis UDP, seperti serangan DNS Flood terhadap layanan UDP-CC dan NS, layanan game berbasis UDP, dan panggilan suara berbasis UDP. Penting Perlindungan banjir UDP memerlukan pembelian Managed Security Service. Tanpa layanan tersebut, perlindungan banjir UDP tidak tersedia. | Catatan Mendukung pembersihan serangan DNS yang menargetkan layanan non-DNS. Untuk melindungi layanan DNS, gunakan DNS Security. | ||
Efektivitas Perlindungan
Pola serangan DDoS terus berkembang. Mesin AI bawaan belajar dari lalu lintas layanan normal Anda untuk mendeteksi serangan secara akurat.
Ketika layanan Anda pertama kali diluncurkan—atau jika langsung menghadapi serangan DDoS atau banjir—Anda mungkin mengalami transmisi langsung lalu lintas serangan secara singkat. Anda dapat menggunakan pengaturan mitigasi berikut untuk meningkatkan perlindungan:
Anti-DDoS Origin:
Anda dapat menentukan kebijakan perlindungan serial, perlindungan port, dan perlindungan berbasis pemicu terlebih dahulu untuk meningkatkan efektivitas. Untuk informasi lebih lanjut, lihat Pengaturan Mitigasi.
Anda dapat menyesuaikan ambang batas pembersihan agar sesuai dengan lalu lintas layanan Anda. Untuk informasi lebih lanjut, lihat Atur Ambang Batas Pembersihan Lalu Lintas.
Anti-DDoS Proxy:
Anda dapat menggunakan kebijakan spesifik skenario. Untuk informasi lebih lanjut, lihat Kebijakan Spesifik Skenario.
Anda dapat menerapkan kebijakan perlindungan berbasis frekuensi khusus berdasarkan perilaku layanan Anda. Untuk informasi lebih lanjut, lihat Atur Perlindungan Flood HTTP.