Anti-DDoS Origin Basic adalah layanan gratis yang melindungi instance Elastic Compute Service (ECS) dari serangan DDoS. Jika trafik masuk ke instance ECS melebihi laju trafik maksimum yang diizinkan oleh tipe instans, Anti-DDoS Origin Basic akan membatasi trafik untuk mencegah pelanggaran data, pemutusan server, atau ketidakmampuan mengakses layanan. Topik ini menjelaskan fitur dan prinsip kerja Anti-DDoS Origin Basic.
Anti-DDoS Origin Basic adalah layanan gratis dari Alibaba Cloud yang menyediakan kapasitas mitigasi hingga 5 Gbit/s terhadap serangan DDoS. Kapasitas mitigasi bervariasi berdasarkan tipe instans ECS. Anda dapat memeriksa kapasitas mitigasi aktual di Konsol Keamanan Lalu Lintas. Untuk informasi lebih lanjut, lihat Apa itu Security Center? dan Lihat ambang batas yang memicu penyaringan blackhole di Anti-DDoS Origin Basic.
Cara kerja Anti-DDoS Origin Basic
Pembersihan trafik DDoS
Setelah mengaktifkan Anti-DDoS Origin Basic, trafik masuk ke instance ECS dipantau secara real-time. Ketika trafik mencurigakan atau serangan DDoS terdeteksi, Anti-DDoS Origin Basic mengalihkan trafik ke perangkat pembersihan. Perangkat ini mengidentifikasi dan menghapus trafik jahat, lalu mengembalikan trafik sah ke instance ECS melalui jalur semula. Proses ini disebut pembersihan trafik, yang membantu memastikan stabilitas dan keamanan layanan jaringan. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Origin?
Jika Anti-DDoS Origin Basic diaktifkan untuk instance ECS, penyaringan blackhole dipicu ketika trafik masuk dari Internet melebihi 5 Gbit/s. Semua trafik ke instans dialihkan ke blackhole, dan semua permintaan akses dari Internet diblokir untuk memastikan keamanan kluster. Untuk informasi lebih lanjut, lihat Kebijakan Penyaringan Blackhole Alibaba Cloud dalam dokumentasi Anti-DDoS.
Kondisi untuk memicu pembersihan trafik
Berikut adalah kondisi yang memicu pembersihan trafik:
Pola Trafik: Pembersihan trafik dipicu ketika pola trafik sesuai dengan karakteristik serangan.
Volume Trafik: Serangan DDoS biasanya menghasilkan trafik dalam skala Gbit/s. Ketika volume trafik mencapai ambang tertentu, Anti-DDoS Origin Basic secara otomatis membersihkan trafik tersebut.
Metode pembersihan trafik
Metode pembersihan trafik meliputi penyaringan paket serangan, pembatasan bandwidth, dan pembatasan laju pengalihan paket. Saat menggunakan Anti-DDoS Origin Basic, Anda harus mengonfigurasi ambang batas berikut. Untuk informasi lebih lanjut, lihat Konfigurasikan Ambang Batas Pembersihan Trafik.
Ambang Batas Berbasis BPS: Pembersihan trafik dipicu ketika trafik masuk melebihi ambang ini.
Ambang Batas Berbasis PPS: Pembersihan trafik dipicu ketika laju pengalihan paket masuk melebihi ambang ini.
Ambang batas pembersihan instance ECS
Fitur ini didukung di wilayah berikut: Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Hong Kong), UEA (Dubai), Inggris (London), Jerman (Frankfurt), Filipina (Manila), Malaysia (Kuala Lumpur), Indonesia (Jakarta), Jepang (Tokyo), AS (Virginia), AS (Silicon Valley), dan Singapura.
Ambang batas pembersihan instance ECS bergantung pada bandwidth publik yang dibeli dan tipe instans. Tabel berikut menjelaskan metode perhitungan ambang batas pembersihan.
Bandwidth Publik yang Dibeli (Mbit/s) | Ambang Batas Berbasis BPS (Mbit/s) | Ambang Batas Berbasis PPS (pps) |
≤ 300 | Bandwidth maksimum yang diizinkan oleh tipe instans ECS atau 450, mana yang lebih rendah. | Laju pengalihan paket maksimum yang diizinkan oleh tipe instans ECS atau 100.000, mana yang lebih rendah. |
> 300 | Bandwidth maksimum yang diizinkan oleh tipe instans ECS atau produk dari nilai bandwidth yang dibeli dikalikan 1,5, mana yang lebih kecil. | Laju pengalihan paket maksimum yang diizinkan oleh tipe instans ECS atau produk dari nilai bandwidth yang dibeli dikalikan 1.000, mana yang lebih kecil. |
Untuk informasi lebih lanjut tentang bandwidth dan laju pengalihan paket dari ambang batas berbasis BPS dan PPS, lihat baris Network bandwidth dan Packet forwarding rate di bagian "Spesifikasi Tipe Instans" topik Ikhtisar Keluarga Instans.
Jika tidak ada metrik bandwidth yang tersedia untuk keluarga instans, ambang batas pembersihan yang ditampilkan di Konsol Keamanan Lalu Lintas berlaku.
Ambang batas untuk memicu penyaringan blackhole yang ditampilkan di Konsole Keamanan Lalu Lintas berlaku. Untuk informasi lebih lanjut, lihat Lihat Ambang Batas yang Memicu Penyaringan Blackhole di Anti-DDoS Dasar.
Sebagai contoh, jika Anda membeli instance ECS tipe ecs.g5.16xlarge dengan bandwidth publik 100 Mbit/s, bandwidth maksimum instans adalah 20.000 Mbit/s dan laju pengalihan paket maksimum adalah 4.000.000. Tabel berikut menjelaskan cara menghitung ambang batas pembersihan.
Bandwidth Publik yang Dibeli (Mbit/s) | Ambang Batas Berbasis BPS (Mbit/s) | Ambang Batas Berbasis PPS (pps) |
100 < 300 | 20.000 atau 450, mana yang lebih kecil. Hasilnya adalah 450. | 4.000.000 atau 100.000, mana yang lebih kecil. Hasilnya adalah 100.000. |
Ambang batas pembersihan akhir yang ditampilkan di Konsol Keamanan Lalu Lintas berlaku. Untuk informasi lebih lanjut, lihat Lihat Halaman Aset. Gambar berikut menunjukkan sebuah contoh.
Referensi
Secara default, Anti-DDoS Origin Basic diaktifkan untuk instance ECS. Setelah membuat instance ECS, Anda dapat melakukan operasi berikut:
Tentukan ambang batas pembersihan. Setelah instance ECS dibuat, ambang batas maksimum Anti-DDoS Origin Basic untuk tipe instans digunakan. Ambang batas berbasis BPS untuk tipe instans tertentu mungkin terlalu tinggi. Sesuaikan ambang batas sesuai kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan Ambang Batas Pembersihan Trafik.
(Tidak direkomendasikan) Nonaktifkan pembersihan trafik. Ketika pembersihan trafik diaktifkan dan trafik masuk mencapai ambang tertentu, pembersihan trafik dipicu tanpa memandang apakah trafik normal atau tidak. Hal ini dapat memengaruhi bisnis normal. Anda dapat menonaktifkan pembersihan trafik secara manual. Untuk informasi lebih lanjut, lihat Batalkan Pembersihan Trafik.
PeringatanSetelah pembersihan trafik dinonaktifkan untuk instance ECS, semua trafik ke instans dialihkan ke blackhole ketika trafik masuk melebihi 5 Gbit/s. Lanjutkan dengan hati-hati.
Dibandingkan dengan solusi keamanan tradisional terhadap serangan DDoS, Alibaba Cloud Anti-DDoS Proxy menawarkan penyebaran mudah, kualitas jaringan BGP tinggi, perlindungan komprehensif, stabilitas sistem, perlindungan presisi, dan teknologi AI canggih. Untuk informasi lebih lanjut, lihat Apa itu Anti-DDoS Proxy?
Untuk informasi tentang cara memilih solusi anti-DDoS, lihat Solusi Anti-DDoS Berdasarkan Skenario.