Alibaba Cloud menyediakan fitur Anti-DDoS gratis secara default untuk setiap alamat IP publik, yang mampu melindungi dari serangan DDoS ber-volume rendah. Untuk layanan yang memerlukan volume lalu lintas tinggi, fitur keamanan lanjutan, serta komunikasi yang sangat stabil dan latensi rendah, Anda dapat membeli Anti-DDoS Origin atau Anti-DDoS Pro dan Anti-DDoS Premium, lalu mengonfigurasi objek yang dilindungi dan kebijakan mitigasi.
Risiko keamanan
Serangan penolakan layanan terdistribusi (DDoS) merupakan salah satu ancaman keamanan paling signifikan di Internet saat ini. Penyerang mengendalikan banyak host "zombie" untuk mengirim sejumlah besar permintaan yang tampak sah ke satu target, seperti server web atau API aplikasi Anda. Permintaan tersebut dapat langsung menghabiskan sumber daya sistem server Anda—seperti bandwidth, CPU, memori, atau koneksi—sehingga menyebabkan respons lambat atau bahkan crash. Akibatnya, pengguna sah tidak dapat mengakses layanan Anda, yang berpotensi menimbulkan kerugian finansial langsung dan merusak reputasi merek. Layanan seperti e-commerce, game online, dan pembayaran finansial sering menjadi sasaran serangan DDoS, terutama selama promosi atau acara besar.
Alibaba Cloud menyediakan layanan Anti-DDoS dasar secara gratis untuk setiap alamat IP publik, dengan kemampuan mitigasi default hingga 5 Gbps. Namun, lapisan perlindungan dasar ini memiliki beberapa keterbatasan:
Ambang batas mitigasi terbatas: Serangan modern dapat mencapai puluhan hingga ratusan Gbps, sehingga batas perlindungan 5 Gbps mudah dilampaui. Jika lalu lintas serangan melebihi ambang batas ini, sistem akan memicu penyaringan blackhole untuk menjaga stabilitas jaringan regional Alibaba Cloud. Penyaringan blackhole membuang seluruh lalu lintas Internet ke server Anda—baik lalu lintas normal maupun lalu lintas serangan—sehingga menyebabkan gangguan layanan total.
Jenis perlindungan terbatas: Edisi Gratis terutama membersihkan serangan umum pada lapisan jaringan dan lapisan transportasi, seperti serangan refleksi UDP dan SYN Flood. Layanan ini tidak mampu melindungi dari serangan lapisan aplikasi, seperti HTTP Flood (juga dikenal sebagai serangan CC). Serangan CC meniru perilaku pengguna nyata dan menghabiskan sumber daya CPU serta memori server, sehingga sangat berbahaya.
Tidak ada kebijakan detail halus: Edisi Gratis menggunakan kebijakan mitigasi otomatis yang bersifat umum. Anda tidak dapat menyesuaikan pengaturan mitigasi sesuai kebutuhan layanan Anda, maupun memperoleh laporan dan analisis serangan secara mendetail.
Praktik terbaik
Kurangi paparan Internet
Serangan DDoS hanya dapat terjadi jika Anda menggunakan alamat IP publik dan mengekspos layanan ke Internet. Jika layanan Anda hanya digunakan secara internal atau melayani jaringan pengguna tertentu, hindari mengeksposnya ke Internet. Untuk informasi selengkapnya, lihat Kurangi risiko eksposur Internet instance ECS, Akses layanan cloud melalui jaringan internal atau jalur sewa, dan Gunakan PrivateLink untuk mengurangi komunikasi Internet yang tidak perlu.
Gunakan edisi Anti-DDoS gratis
Anda dapat menggunakan layanan pembersihan lalu lintas DDoS dasar tanpa perlu pembelian atau konfigurasi tambahan. Setiap alamat IP publik memiliki ambang batas pembersihan lalu lintas antara 500 Mbps hingga 5 Gbps. Jika lalu lintas serangan berada di bawah ambang batas ini, layanan akan secara otomatis membersihkannya dengan menyaring lalu lintas serangan dan memungkinkan lalu lintas normal lewat. Edisi Anti-DDoS gratis hanya mampu membersihkan beberapa jenis serangan lapisan jaringan dan lapisan transportasi, seperti serangan refleksi UDP, SYN Flood, dan Serangan ACK Flood, tetapi tidak dapat membersihkan serangan lapisan aplikasi seperti serangan CC. Jika ambang batas dilampaui, penyaringan blackhole akan dipicu dan seluruh lalu lintas ke alamat IP yang diserang akan dibuang sementara. Edisi Gratis cocok untuk melindungi dari serangan DDoS lapisan jaringan dan lapisan transportasi ber-volume rendah.
Buka halaman Keamanan Lalu Lintas - Ikhtisar.
Anda dapat melihat status serangan DDoS pada aset di bawah akun Anda, sehingga membantu menentukan apakah aset tersebut sedang atau pernah mengalami serangan DDoS sebelumnya.
Buka halaman Keamanan Lalu Lintas - Pusat Aset. Di pojok kiri atas bilah menu, pilih wilayah tempat aset berada.
Pilih tab produk cloud yang ingin Anda kelola, seperti ECS.
Anda dapat melihat status keamanan instans aset tertentu, seperti instance ECS dan EIP.
Gunakan edisi Anti-DDoS berbayar
Kemampuan mitigasi Edisi Gratis terbatas. Jika lalu lintas serangan ke satu alamat IP melebihi 5 Gbps, penyaringan blackhole akan dipicu untuk alamat IP tersebut, sehingga mengganggu layanan Anda. Selain itu, Edisi Gratis tidak mampu melindungi dari serangan lapisan aplikasi. Jika Anda menghadapi serangan volumetrik atau serangan lapisan aplikasi, atau memerlukan kebijakan mitigasi lanjutan yang lebih efektif, pilih edisi Anti-DDoS berbayar.
Anti-DDoS Origin: Layanan ini terintegrasi secara native dengan produk cloud Anda, seperti ECS dan SLB, tanpa perlu mengubah alamat IP atau pengaturan DNS. Saat terjadi serangan, lalu lintas secara otomatis dialihkan ke pusat pembersihan lalu lintas khusus di backbone network Alibaba Cloud. Setelah lalu lintas serangan disaring, lalu lintas layanan yang bersih diteruskan ke server Anda. Keunggulan layanan ini adalah penerapan transparan dan latensi sangat rendah. Layanan ini menyediakan kemampuan mitigasi hingga ratusan Gbps bahkan Tbps, serta menawarkan kebijakan mitigasi serangan CC yang detail halus. Untuk mengaktifkannya, lihat Beli instance Anti-DDoS Origin.
Anti-DDoS Pro dan Anti-DDoS Premium: Layanan ini menggunakan pengalihan DNS atau pengarahan IP untuk mengarahkan lalu lintas layanan ke node perlindungan yang tersebar secara global. Node-node tersebut memiliki bandwidth besar dan kemampuan pembersihan lalu lintas yang kuat, sehingga mampu melindungi secara efektif dari serangan DDoS skala besar. Setelah pembersihan, lalu lintas yang bersih diteruskan kembali secara aman ke server asal Anda—baik yang di-hosting di Alibaba Cloud maupun di luar Alibaba Cloud. Hal ini membuat layanan ini sangat cocok untuk skenario di mana Anda perlu menyembunyikan alamat IP asal. Untuk mengaktifkannya, lihat Beli instance Anti-DDoS Pro atau Anti-DDoS Premium.
Lihat status serangan
Alamat IP publik sering menjadi sasaran serangan DDoS. Alibaba Cloud menangani lebih dari 100.000 serangan DDoS setiap hari. Jika Anda tidak mempertimbangkan ancaman serangan DDoS atau menerapkan penguatan keamanan saat mengaktifkan layanan, Anda mungkin menemukan bahwa layanan jaringan Anda menjadi tidak dapat diakses, mengalami timeout parah, atau menunjukkan penurunan kinerja signifikan. Jika hal ini terjadi, buka halaman Keamanan Lalu Lintas - Ikhtisar untuk melihat informasi serangan saat ini dan historis.
Atur peringatan serangan DDoS
Secara default, Anda tidak menerima notifikasi ketika alamat IP Anda sedang mengalami serangan DDoS. Anda dapat mengatur aturan peringatan untuk menerima notifikasi. Untuk informasi selengkapnya, lihat Peringatan CloudMonitor (Anti-DDoS Origin) dan Peringatan CloudMonitor (Anti-DDoS Pro dan Anti-DDoS Premium):
Peringatan Lalu Lintas: Di CloudMonitor, Anda dapat mengatur ambang batas lalu lintas arah masuk dan lalu lintas keluar untuk alamat IP Anda. Peringatan dikirim ketika lalu lintas melebihi ambang batas, yang efektif karena serangan DDoS sering menghasilkan volume lalu lintas jauh lebih tinggi daripada lalu lintas normal.
Peringatan Event: Di CloudMonitor, Anda dapat berlangganan Peringatan untuk penyaringan blackhole DDoS dan Peringatan pada Peristiwa Pembersihan. Ketika aksi Anti-DDoS dipicu, notifikasi dikirim melalui saluran peringatan CloudMonitor.