Cara memilih solusi anti-DDoS setelah serangan DDoS terjadi - Anti-DDoS

Alibaba Cloud mengintegrasikan teknologi keamanan dan pengalaman bertahun-tahun dalam mitigasi DDoS untuk mengembangkan berbagai solusi anti-DDoS komersial. Anda dapat memilih solusi yang sesuai berdasarkan kebutuhan bisnis Anda. Topik ini menjelaskan cara memilih solusi anti-DDoS yang tepat.

Tutorial video

Solusi anti-DDoS

Solusi mitigasi Anti-DDoS mencakup Anti-DDoS Dasar, Anti-DDoS Origin, dan Anti-DDoS Proxy. Anti-DDoS Dasar disediakan secara gratis. Tabel berikut menjelaskan solusi-solusi tersebut. Kami menyarankan Anda membaca Apa itu Anti-DDoS Origin? dan Apa itu Anti-DDoS Proxy? sebelum memilih solusi.

Catatan

Untuk mendapatkan solusi keamanan khusus, seperti mitigasi ultra-besar atau serangan refleksi UDP di lapisan aplikasi, hubungi arsitek keamanan Alibaba Cloud melalui telepon. Untuk informasi lebih lanjut, lihat Hubungi kami.

Arsitektur	Anti-DDoS Dasar	Anti-DDoS Origin		Anti-DDoS Proxy
Arsitektur	Anti-DDoS Dasar	Layanan Alibaba Cloud reguler	Layanan Alibaba Cloud ditingkatkan	Anti-DDoS Proxy
Ikhtisar Solusi	Anti-DDoS Origin menggunakan jaringan perlindungan asli Alibaba Cloud untuk mengurangi serangan DDoS di lapisan jaringan dan transmisi tanpa mengubah alamat IP server asal. Catatan Hanya Elastic IP Address (EIP) yang didukung untuk layanan Alibaba Cloud yang ditingkatkan. Jika ingin menggunakan Anti-DDoS Origin untuk melindungi aset dari layanan Alibaba Cloud reguler, tambahkan aset tersebut ke Anti-DDoS Origin untuk perlindungan. Namun, jika ingin melindungi EIP, pilih Anti-DDoS (Ditingkatkan) untuk parameter Perlindungan Keamanan saat membeli EIP. Pastikan Anda telah membeli instansi Anti-DDoS Origin sebelum membeli EIP.			Anti-DDoS Proxy merutekan lalu lintas jaringan ke pusat pembersihan lalu lintas global Alibaba Cloud melalui resolusi DNS, mengurangi serangan DDoS di lapisan jaringan, transmisi, dan aplikasi, serta menyembunyikan alamat IP server asal.
Kemampuan Mitigasi	Rendah. Kemampuan mitigasi disediakan oleh Alibaba Cloud dengan rentang antara 500 Mbit/s hingga 5 Gbit/s. Untuk informasi lebih lanjut, lihat Lihat ambang batas yang memicu penyaringan blackhole di Anti-DDoS Origin Basic.	Cukup tinggi. Kemampuan mitigasi disediakan oleh Alibaba Cloud dan dapat mencapai ratusan Gbit/s. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Origin?	Tinggi. Kemampuan mitigasi disediakan oleh pusat pembersihan lalu lintas global Alibaba Cloud dan dapat mencapai Tbit/s.	Tinggi. Kemampuan mitigasi disediakan oleh pusat pembersihan lalu lintas global Alibaba Cloud dan dapat mencapai Tbit/s.
Objek yang Dilindungi	Aset dari layanan Alibaba Cloud tertentu. Aset tersebut mencakup Instance Elastic Compute Service (ECS), Instance Server Load Balancer (SLB), EIP, EIP yang terkait dengan NAT gateway, IPv6 gateway, server aplikasi sederhana, Instance Web Application Firewall (WAF), dan Instance Global Accelerator (GA).	Aset dari layanan Alibaba Cloud tertentu. Aset tersebut mencakup Instance ECS, Instance SLB, EIP, EIP yang terkait dengan NAT gateway, IPv6 gateway, server aplikasi sederhana, Instance WAF, dan Instance GA.	Aset dari layanan Alibaba Cloud tertentu. Hanya EIP dengan Anti-DDoS (Ditingkatkan) yang diaktifkan yang didukung.	Semua aset dengan alamat IP publik.
Skenario	Anti-DDoS Dasar diaktifkan secara otomatis setelah Anda membeli layanan Alibaba Cloud.	Sejumlah besar alamat IP atau port perlu dilindungi. Bandwidth bersih yang tinggi diperlukan dan alamat IP layanan Anda tidak dapat diubah. Misalnya, bandwidth bersih lebih besar dari 1 Gbit/s, dan permintaan per detik (QPS) melalui HTTP dan HTTPS lebih besar dari 5.000. Latensi ultra-rendah diperlukan, dan kontinuitas bisnis harus dipastikan selama serangan DDoS berbasis volume. Serangan DDoS kadang-kadang terjadi.	Sejumlah besar alamat IP atau port perlu dilindungi. Bandwidth bersih yang tinggi diperlukan dan alamat IP layanan Anda tidak dapat diubah. Misalnya, bandwidth bersih lebih besar dari 1 Gbit/s, dan QPS melalui HTTP dan HTTPS lebih besar dari 5.000. Latensi rendah diperlukan, dan kontinuitas bisnis harus dipastikan selama serangan DDoS berbasis volume. Kemampuan mitigasi DDoS pada level Tbit/s diperlukan untuk aset. Serangan DDoS kadang-kadang terjadi.	Serangan sering terjadi dalam skenario pertahanan kuat. Perlindungan terhadap serangan banjir HTTP flood lapisan aplikasi yang canggih diperlukan. Alamat IP layanan Anda perlu diubah.
Catatan	Gratis.	Metode penagihan langganan didukung untuk Anti-DDoS Origin 2.0 Edisi Inklusif untuk Usaha Kecil dan Menengah dan Anti-DDoS Origin 2.0 Perusahaan. Untuk informasi lebih lanjut, lihat Anti-DDoS Origin 2.0 (Langganan). Metode penagihan bayar sesuai pemakaian didukung. Untuk informasi lebih lanjut, lihat Anti-DDoS Origin 2.0 (Bayar sesuai pemakaian).	Metode penagihan bayar sesuai pemakaian didukung. Untuk informasi lebih lanjut, lihat Anti-DDoS Origin 2.0 (Bayar sesuai pemakaian).	Anda dapat memilih rencana mitigasi Anti-DDoS Proxy berdasarkan deskripsi berikut: Jika sumber akses dan server asal Anda berada di daratan Tiongkok, gunakan Proxy Anti-DDoS (Tiongkok Daratan). Untuk informasi lebih lanjut, lihat Penagihan Proxy Anti-DDoS (Tiongkok Daratan). Jika sumber akses dan server asal Anda berada di luar daratan Tiongkok, gunakan Proxy Anti-DDoS (Luar Daratan Tiongkok) dari rencana mitigasi Asuransi atau Tanpa Batas. Untuk informasi lebih lanjut, lihat Penagihan Proxy Anti-DDoS (Luar Daratan Tiongkok) dari rencana mitigasi Asuransi dan Tanpa Batas. Jika sumber akses berada di dalam daratan Tiongkok dan server asal Anda berada di luar daratan Tiongkok, gunakan Proxy Anti-DDoS (Luar Daratan Tiongkok) dari rencana mitigasi Asuransi atau Tanpa Batas dan Proxy Anti-DDoS (Luar Daratan Tiongkok) dari rencana mitigasi Akselerasi Daratan Tiongkok (CMA) bersama-sama, atau hanya gunakan Proxy Anti-DDoS (Luar Daratan Tiongkok) dari rencana mitigasi Akselerasi Daratan Tiongkok Aman (Sec-CMA). Untuk informasi lebih lanjut, lihat Penagihan Proxy Anti-DDoS (Luar Daratan Tiongkok) dari rencana mitigasi Asuransi dan Tanpa Batas.

Jenis serangan DDoS

Deskripsi simbol:

√: menunjukkan bahwa mitigasi didukung.
x: menunjukkan bahwa mitigasi tidak didukung.

Jenis serangan	Subjenis serangan	Anti-DDoS Origin		Anti-DDoS Proxy
Jenis serangan	Subjenis serangan	Layanan Alibaba Cloud reguler	Layanan Alibaba Cloud ditingkatkan	Anti-DDoS Proxy
Serangan DDoS lapisan jaringan	Jenis serangan ini mencakup banjir fragmen, smurf, banjir aliran, banjir lahan, paket IP cacat, paket TCP cacat, dan paket UDP cacat.	√	√	√
Serangan DDoS lapisan transmisi	Jenis serangan ini mencakup SYN flood, Ack flood, UDP flood, Internet Control Message Protocol (ICMP) flood, reset (RST) flood, Network Time Protocol (NTP) reflection attack, Simple Service Discovery Protocol (SSDP) reflection attack, dan Domain Name Service (DNS) reflection attack.	√	√	√
Serangan DDoS lapisan aplikasi HTTP dan HTTPS	Jenis serangan ini juga disebut serangan banjir HTTP flood lapisan aplikasi pada layanan situs web, termasuk serangan HTTP flood, serangan HTTPS flood, dan serangan HTTP lambat yang menargetkan layanan HTTP, seperti situs web, operasi API, dan layanan situs web yang sesuai dengan WebSocket. Serangan HTTP lambat dapat diluncurkan menggunakan Low Orbit Ion Cannon (LOIC), High Orbit Ion Cannon (HOIC), Slowloris, PyLoris, dan XOIC.	×	×	√
Serangan DDoS lapisan aplikasi TCP selain HTTP dan HTTPS	Jenis serangan ini juga disebut serangan banjir lapisan aplikasi pada layanan non-situs web, termasuk serangan TCP flood, banjir koneksi kosong berbasis TCP, dan serangan kehabisan sumber daya berbasis koneksi TCP yang menargetkan layanan non-HTTP, seperti layanan yang menggunakan protokol eksklusif, MySQL, Message Queuing Telemetry Transport (MQTT), dan Real-Time Messaging Protocol (RTMP).	×	√ Fitur ini sedang dalam pratinjau publik dan hanya tersedia di wilayah China (Hangzhou). Jika Anda ingin mengaktifkan fitur ini, ajukan tiket untuk menghubungi manajer akun Anda.	√
Serangan DDoS lapisan aplikasi UDP	Jenis serangan ini mencakup serangan UDP flood dan serangan DNS flood terhadap layanan UDP, seperti layanan jaringan, layanan game berbasis UDP, dan panggilan suara berbasis UDP. Catatan Jika Anda ingin mempertahankan diri dari serangan HTTP flood yang menargetkan layanan UDP, Anda harus membeli Managed Security Service (MSSP). Jika tidak, Anda tidak dapat menggunakan fitur ini.	√ Serangan DNS flood terhadap layanan non-jaringan dapat dikurangi. Jika Anda ingin melindungi layanan jaringan, aktifkan perlindungan DNS. Untuk informasi lebih lanjut, lihat Perlindungan DNS.	√ Serangan DNS flood terhadap layanan non-jaringan dapat dikurangi. Jika Anda ingin melindungi layanan jaringan, aktifkan perlindungan DNS. Untuk informasi lebih lanjut, lihat Perlindungan DNS.	√ Serangan DNS flood terhadap layanan non-jaringan dapat dikurangi. Jika Anda ingin melindungi server DNS dari serangan DNS flood, aktifkan perlindungan DNS. Untuk informasi lebih lanjut, lihat Perlindungan DNS.

Deskripsi efek mitigasi

Komponen mitigasi, arsitektur, dan kemampuan mitigasi dari berbagai solusi anti-DDoS tidak sepenuhnya konsisten karena pembaruan berkelanjutan dari berbagai serangan DDoS. Banyak faktor juga dapat mempengaruhi efek mitigasi akhir dari serangan DDoS. Kami menyarankan Anda memperhatikan skenario dan faktor berikut yang dapat mempengaruhi efek mitigasi, serta meningkatkan kemampuan mitigasi berdasarkan pengalaman pertahanan yang diperoleh oleh para ahli teknis.

Setelah Anda menambahkan layanan Anda ke Anti-DDoS, fitur perlindungan cerdas memerlukan waktu untuk mempelajari karakteristik lalu lintas layanan. Jika layanan Anda menerima serangan DDoS atau serangan HTTP flood segera setelah Anda menambahkan layanan ke Anti-DDoS, lalu lintas serangan pertama mungkin ditransmisikan secara instan dan transparan ke server asal Anda. Kami menyarankan Anda meningkatkan kemampuan server asal Anda untuk menangani beban kerja yang lebih tinggi dan menyelesaikan konfigurasi berikut:

Anti-DDoS Origin
- Setelah Anda menambahkan layanan Anda ke Anti-DDoS Origin, kebijakan mitigasi default digunakan. Selama proses perlindungan, sistem secara otomatis meningkatkan kemampuan mitigasi berdasarkan karakteristik serangan secara real-time. Perlindungan cerdas juga disampaikan. Sebelum perlindungan cerdas berlaku, lalu lintas serangan mungkin ditransmisikan secara instan dan transparan ke server asal Anda. Kami menyarankan Anda mengonfigurasi kebijakan mitigasi spesifik IP dan spesifik port terlebih dahulu untuk meningkatkan efek mitigasi. Untuk informasi lebih lanjut, lihat Gunakan fitur pengaturan mitigasi (versi sebelumnya).
- Jika lalu lintas serangan tidak melebihi ambang batas pembersihan lalu lintas default, lalu lintas serangan mungkin ditransmisikan secara transparan ke server asal Anda. Jika rencana bandwidth terikat pada EIP, ambang batas pembersihan lalu lintas default mungkin tinggi. Kami menyarankan Anda menentukan ambang batas pembersihan lalu lintas yang sesuai berdasarkan lalu lintas layanan. Untuk informasi lebih lanjut, lihat Konfigurasikan ambang batas pembersihan lalu lintas.
Anti-DDoS Proxy
Untuk meningkatkan efek mitigasi, kami menyarankan Anda mengonfigurasi kebijakan mitigasi kustom atau mitigasi HTTP flood berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Buat kebijakan mitigasi kustom untuk skenario tertentu dan Konfigurasikan fitur mitigasi HTTP flood.