Anti-DDoS Origin melindungi produk Alibaba Cloud dari serangan DDoS dengan penyebaran sederhana tanpa perubahan pada arsitektur jaringan. Tidak ada batasan port Lapisan 4 atau nama domain Lapisan 7 di Anti-DDoS Origin. Anda hanya perlu mengaitkan ID sumber daya cloud dengan instansi Anti-DDoS Origin untuk mengaktifkan perlindungan.
Ikhtisar
Secara default, Anti-DDoS Origin Basic diaktifkan secara gratis untuk CLB dan menyediakan kapasitas bandwidth maksimum sebesar 5 Gbit/s. Semua lalu lintas dari Internet melewati Keamanan Alibaba Cloud sebelum mencapai instansi CLB. Keamanan Alibaba Cloud membersihkan lalu lintas tersebut untuk mengurangi serangan DDoS umum seperti serangan SYN Flood, serangan flood UDP, serangan flood ACK, serangan flood ICMP, dan serangan flood DNS.
Anti-DDoS Origin menggunakan pembersihan pasif sebagai kebijakan perlindungan utama dan pemblokiran aktif sebagai kebijakan tambahan untuk mengurangi serangan DDoS. Hal ini memastikan bahwa sumber daya yang dilindungi tetap berfungsi meskipun sedang diserang. Gambar berikut menunjukkan topologi jaringan Anti-DDoS Origin.
Anti-DDoS Origin Basic menentukan ambang batas untuk pembersihan dan blackholing berdasarkan bandwidth instansi CLB yang menghadap Internet. Ketika lalu lintas masuk mencapai ambang batas, pembersihan atau blackholing akan dipicu:
Pembersihan: Sistem mendeteksi serangan yang sesuai dengan model tertentu atau volume besar serangan, lalu Keamanan Alibaba Cloud secara otomatis membersihkan lalu lintas tersebut.
Blackholing: Jika sistem menerima volume besar serangan yang melebihi ambang batas, semua permintaan akan dijatuhkan untuk memastikan keamanan.
Ambang batas dihitung berdasarkan prinsip-prinsip berikut:
Ambang batas ditentukan berdasarkan sumber daya bandwidth yang dibeli untuk instansi CLB.
Ambang batas blackholing ditentukan berdasarkan skor kredit keamanan Anda.
CatatanNamun, skor kredit keamanan tidak memengaruhi ambang batas pembersihan.
Menghitung Ambang Batas
Berikut adalah langkah-langkah untuk menghitung ambang batas.
CLB memberikan ambang batas yang direkomendasikan berdasarkan sumber daya bandwidth yang Anda beli untuk instansi CLB Anda.
CatatanJika Anda membeli instansi CLB dengan pembayaran berdasarkan transfer data, bandwidth keluar sama dengan bandwidth maksimum yang didukung oleh wilayah tempat instansi CLB diterapkan. Semua wilayah di daratan Tiongkok mendukung kapasitas bandwidth maksimum sebesar 5 Gbit/s. Untuk informasi lebih lanjut, lihat Batas Bandwidth.
Korelasi antara bandwidth CLB dan ambang batas pembersihan (bit/detik)
Ketika bandwidth CLB kurang dari 100 Mbit/s: Ambang batas pembersihan default (Mbit/s) = 120
Ketika bandwidth CLB lebih dari 100 Mbit/s: Ambang batas pembersihan default (Mbit/s) = Bandwidth CLB × 1,2
Korelasi antara bandwidth CLB dan ambang batas pembersihan (paket/detik)
Ambang batas pembersihan (paket/detik) = (Bandwidth CLB/500) × 150.000
Bandwidth diukur dalam Mbit/s.
Korelasi antara bandwidth CLB dan ambang batas blackholing (bit/detik)
Ketika bandwidth CLB kurang dari 1 Gbit/s: Ambang batas blackholing default (Gbit/s) = 2
Ketika bandwidth CLB lebih dari 1 Gbit/s: Ambang batas blackholing default (Gbit/s) = Maks {Bandwidth CLB × 1,5, 2}
Keamanan Alibaba Cloud menghitung ambang batas akhir berdasarkan ambang batas yang direkomendasikan, skor kredit keamanan, dan sumber daya di setiap wilayah.
Keamanan Alibaba Cloud menggunakan aturan berikut untuk mengevaluasi ambang batas (bit/detik dan paket/detik).
Nilai minimum dari ambang batas adalah 1000 dalam Mbit/s dan 300000 dalam paket/detik.
Jika ambang batas yang dihitung oleh CLB kurang dari nilai minimum sebelumnya, nilai minimum yang berlaku.
Jika ambang batas yang dihitung oleh CLB lebih dari nilai minimum sebelumnya, ambang batas yang dihitung oleh CLB yang berlaku.
Keamanan Alibaba Cloud menentukan ambang batas blackholing berdasarkan skor kredit keamanan Anda.
Berikan izin baca-saja kepada pengguna RAM
Lakukan langkah-langkah berikut untuk memberikan pengguna Resource Access Management (RAM) izin baca-saja pada Anti-DDoS Origin Basic.
Gunakan akun Alibaba Cloud Anda untuk memberikan izin baca-saja kepada pengguna RAM.
Masuk ke Konsol RAM dengan akun Alibaba Cloud Anda.
Di bilah navigasi di sebelah kiri, pilih .
Di halaman Users, temukan pengguna RAM dan klik Add Permissions di kolom Actions.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Pilih ruang lingkup sumber daya.
Account: Otorisasi berlaku untuk semua sumber daya di akun Alibaba Cloud.
ResourceGroup: Izin berlaku untuk sumber daya dalam grup sumber daya tertentu.
CatatanJika Anda ingin memilih ResourceGroup untuk parameter Ruang Lingkup Sumber Daya, pastikan layanan cloud dan sumber daya yang terlibat mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya.
Tentukan subjek.
Pilih kebijakan.
Pilih AliyunYundunDDosFullAccess di kolom Policy Name untuk menambahkan kebijakan ke daftar Terpilih. Kemudian, klik Grant permissions.
Klik Close.
Lihat Ambang Batas
Masuk ke Konsol CLB.
Di bilah navigasi atas, pilih wilayah tempat instansi CLB diterapkan.
Di halaman Instances, temukan instansi CLB, dan arahkan kursor ke ikon Keamanan Alibaba Cloud dari instansi CLB untuk melihat ambang batas pembersihan (bit/detik dan paket/detik) dan ambang batas blackholing. Untuk informasi lebih lanjut, kunjungi Konsol Anti-DDoS.
Ambang batas pembersihan (bit/detik): Pembersihan dipicu ketika data masuk per detik melebihi nilai ini.
Ambang batas pembersihan (paket/detik): Pembersihan dipicu ketika paket masuk per detik melebihi nilai ini.
Ambang batas blackholing: Semua permintaan dijatuhkan ketika data masuk per detik melebihi nilai ini.