All Products
Search

This Product

    Edge Security Acceleration:DDoS

    Document Center

    Edge Security Acceleration:DDoS

    Last Updated:Mar 26, 2026

    ESA melindungi dari serangan Distributed Denial-of-Service (DDoS) dengan menggabungkan dasbor analitik data DDoS serta perlindungan pada lapisan jaringan/transport (L3/L4) dan lapisan aplikasi (L7).

    Apa itu serangan DDoS

    Serangan Distributed Denial-of-Service (DDoS) tidak bertujuan mencuri data, melainkan menghabiskan sumber daya Anda dan melumpuhkan layanan. Serangan DDoS umumnya dilakukan dalam tiga tahap:

    1. Membangun botnet: Penyerang menginfeksi dan mengendalikan sejumlah besar perangkat yang terhubung ke internet menggunakan metode seperti virus, trojan, dan eksploitasi kerentanan. Perangkat yang telah dikompromikan ini membentuk jaringan besar yang dikendalikan melalui perintah, dikenal sebagai botnet.

    2. Memberikan perintah serangan: Penyerang menggunakan server command and control (C&C) untuk mengirim perintah serangan ke semua mesin yang telah dikompromikan, menentukan target seperti alamat IP atau nama domain.

    3. Menjalankan serangan terkonsentrasi: Setelah menerima perintah, mesin-mesin yang telah dikompromikan dan tersebar di seluruh dunia secara bersamaan mengirim volume besar permintaan ke server Anda, menciptakan banjir trafik berbahaya yang membanjiri layanan Anda.

    Karena serangan berasal dari banyak sumber yang tersebar secara global, melacak dan memblokir sumber serangan menjadi sangat sulit.

    Jenis-jenis umum serangan DDoS

    Serangan DDoS dikategorikan menjadi dua jenis berdasarkan lapisan jaringan yang menjadi sasaran:

    • Serangan lapisan jaringan/transport (L3/L4)

      • Cara kerja: Jenis serangan ini terutama menargetkan infrastruktur jaringan dengan mengirim sejumlah besar paket TCP atau UDP yang dibuat khusus untuk cepat menghabiskan bandwidth server atau tabel koneksi, sehingga mencegah permintaan pengguna sah mencapai server.

      • Jenis umum: SYN Flood, UDP Flood, ACK Flood, dll.

      • Karakteristik: Serangan brute-force ber-volume tinggi yang dirancang untuk membanjiri target hanya dengan volume trafik semata.

    • Serangan lapisan aplikasi (L7)

      • Cara kerja: Jenis serangan ini meniru perilaku pengguna sah dengan mengirim sejumlah besar permintaan yang tampak valid, seperti HTTP GET/POST, ke aplikasi target. Berbeda dengan serangan yang memadati jaringan, metode ini dirancang untuk menghabiskan sumber daya pemrosesan aplikasi server, seperti CPU dan memori.

      • Jenis umum: HTTP Flood, juga dikenal sebagai serangan CC (Challenge Collapsar).

      • Karakteristik: Volume trafik belum tentu besar, tetapi permintaannya kompleks dan dirancang untuk mengonsumsi sumber daya server secara signifikan. Trafik serangan dicampur dengan trafik pengguna sah, sehingga sulit dibedakan dan dikurangi dampaknya.

    Cara mengidentifikasi serangan DDoS

    Layanan Anda mungkin sedang mengalami serangan DDoS jika Anda mengamati satu atau lebih gejala berikut:

    • Website atau aplikasi Anda tiba-tiba menjadi tidak dapat diakses atau merespons sangat lambat.

    • Trafik jaringan melonjak secara abnormal, jauh melebihi tingkat puncak bisnis normal. Anda dapat mengamati perubahan ini dalam laporan Data Overview pada halaman Overview di konsol ESA.

    • Penggunaan CPU atau memori server melonjak dan tetap berada di atau mendekati 100% dalam periode yang lama.

    • Log menunjukkan jumlah permintaan yang sangat besar, biasanya berasal dari berbagai alamat IP acak. Anda dapat menggunakan fitur Security Analytics di bawah menu Security di konsol ESA untuk melakukan investigasi secara cepat.

    Perlindungan DDoS di ESA

    Kategori

    Fitur

    Deskripsi

    Mitigasi serangan lapisan jaringan/transport (L3/L4)

    Basic DDoS Protection

    ESA menyediakan Basic DDoS Protection (perlindungan tingkat platform) secara default untuk paket Entrance, Pro, dan Premium, yang melindungi dari serangan DDoS hingga 10 Gbps tetapi tidak menjamin nilai tertentu.

    Best-Effort Protection

    Dengan Enterprise, Anda dapat membeli tambahan Best-Effort Protection hingga tingkat Tbps dan sekaligus melindungi layanan Layer 4 proxy.

    Mitigasi serangan lapisan aplikasi (L7)

    HTTPS DDoS Attack Mitigation

    HTTP DDoS Attack Protection mengandalkan aturan perlindungan umum yang dikembangkan oleh mesin anti-DDoS Alibaba Cloud berdasarkan pengalaman historis pertahanan dan serangan yang luas. Aturan ini mengurangi jumlah serangan CC yang lolos ke server origin pada awal serangan.

    Deep Learning and Protection

    Saat serangan terjadi, mesin perlindungan terus-menerus mempelajari karakteristik serangan dan secara cerdas menghasilkan kebijakan perlindungan dinamis yang lebih tepat sasaran. Proses ini meningkatkan efektivitas pemblokiran dan biasanya selesai dalam hitungan menit.

    Analisis data serangan DDoS

    DDoS attack analysis

    Attack detail analysis

    Tab Attack Details menyediakan log forensik serangan DDoS yang terdeteksi dan telah dimitigasi. Anda dapat menyaring log ini berdasarkan waktu dan jenis serangan untuk menyelidiki insiden tertentu. Tampilan ini berguna untuk:

    Tingkat perlindungan

    Wilayah Layanan

    Tingkat Perlindungan

    Deskripsi

    Tiongkok daratan

    Perlindungan terjamin 30 Gbps, maksimal 300 Gbps

    Menyediakan perlindungan terjamin untuk serangan hingga 30 Gbps. Anda juga dapat menetapkan bandwidth perlindungan secara fleksibel hingga 300 Gbps. Misalnya, jika Anda menetapkannya ke 200 Gbps, bandwidth serangan antara 30 Gbps dan 200 Gbps akan ditagih dengan harga perlindungan elastis. Jika serangan melebihi bandwidth perlindungan elastis yang Anda konfigurasi, mekanisme black hole dipicu, sehingga mengganggu layanan website Anda.

    Perlindungan terjamin 60 Gbps, maksimal 600 Gbps

    Menyediakan perlindungan terjamin untuk serangan hingga 60 Gbps. Anda juga dapat menetapkan bandwidth perlindungan secara fleksibel hingga 600 Gbps. Misalnya, jika Anda menetapkannya ke 500 Gbps, bandwidth serangan antara 60 Gbps dan 500 Gbps akan ditagih dengan harga perlindungan elastis. Jika serangan melebihi bandwidth perlindungan elastis yang Anda konfigurasi, mekanisme black hole dipicu, sehingga mengganggu layanan website Anda.

    Global (tidak termasuk Tiongkok daratan)

    Maksimum 300 Gbps

    Melindungi dari serangan hingga 300 Gbps. Jika serangan melebihi 300 Gbps, mekanisme black hole dipicu, sehingga mengganggu layanan website Anda.

    Perlindungan unlimited Anycast tingkat Terabit (2 kali/bulan)

    Melindungi dari serangan hingga 1 Tbps dan menyediakan 2 instans perlindungan per bulan. Jika serangan melebihi 1 Tbps, mekanisme black hole dipicu, sehingga mengganggu layanan website Anda.

    Catatan

    Hanya serangan lapisan jaringan dengan puncak lebih dari 20 Gbps yang mengonsumsi satu instans perlindungan. Serangan CC lapisan aplikasi tidak mengonsumsi instans. Satu event serangan lapisan jaringan dihitung sebagai satu instans yang dikonsumsi sekitar setengah jam setelah serangan benar-benar berakhir, saat itulah penghitung direset.

    Perlindungan unlimited Anycast tingkat Terabit (instans tanpa batas)

    Melindungi dari serangan hingga 1 Tbps. Jika serangan melebihi batas perlindungan 1 Tbps, mekanisme black hole dipicu, sehingga mengganggu layanan website Anda.

    Catatan

    • Ketika trafik serangan melebihi ambang batas perlindungan dan memicu mekanisme black hole, bandwidth serangan elastis untuk event tersebut tidak ditagih.

      • Contoh 1: Anda membeli Best-Effort Protection dengan jaminan 30 Gbps dan perlindungan elastis maksimum 300 Gbps. Jika trafik serangan masuk aktual mencapai 500 Gbps dan ESA akhirnya memicu black hole, bandwidth perlindungan elastis dari 30 Gbps hingga 300 Gbps untuk event ini tidak akan ditagih.

      • Contoh 2: Misalnya, Anda membeli Best-Effort Protection dengan bandwidth terjamin 60 Gbps dan perlindungan elastis maksimum 600 Gbps. Jika platform ESA memiliki sumber daya perlindungan yang tidak mencukupi karena banyaknya serangan skala besar yang terjadi secara bersamaan, dan ESA memicu black hole lebih awal ketika trafik serangan masuk ke layanan online Anda mencapai 500 Gbps, Anda tidak akan ditagih untuk bandwidth perlindungan elastis yang digunakan antara 60 Gbps dan 500 Gbps.

    • Perlindungan untuk Tiongkok daratan bersifat independen dari perlindungan untuk wilayah Global (tidak termasuk Tiongkok daratan). Misalnya, jika website Anda dipercepat secara global tetapi Anda hanya membeli perlindungan Best-Effort elastis maksimum 600 Gbps untuk Tiongkok daratan, ESA akan berusaha sebaik mungkin mengarahkan permintaan ke Tiongkok daratan untuk pembersihan trafik saat wilayah di luar Tiongkok daratan diserang. Karena isu seperti Pendaftaran ICP, perlindungan cross-region saat ini tidak didukung untuk website yang dipercepat secara global (tidak termasuk Tiongkok daratan).

    • Untuk informasi mengenai harga perlindungan elastis, silakan hubungi kami.

    Ketersediaan fitur berdasarkan paket

    Kategori fitur

    Fitur detail

    Entrance (0 USD/bulan)

    Pro (15 USD/bulan)

    Premium (249 USD/bulan)

    Enterprise (hubungi sales untuk harga kustom)

    DDoS

    Basic DDoS protection

    Didukung

    Didukung

    Didukung

    Didukung

    Unlimited protection

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Hubungi sales untuk harga kustom

    HTTP DDoS attack protection

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Deep Learning and Protection

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Scenario policies

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung