RDS提供多種攻擊防護手段,包括防DDoS攻擊、流量清洗、SQL注入檢測等。
防DDoS攻擊
當使用者使用外網串連和訪問RDS執行個體時,可能會遭受DDoS攻擊。RDS提供流量清洗和黑洞處理功能,完全由系統自動觸發和結束。當RDS安全體系認為使用者執行個體正在遭受DDoS攻擊時,會首先啟動流量清洗功能,如果流量清洗無法抵禦攻擊或者攻擊達到黑洞閾值,則會進行黑洞處理。
重要 建議使用者通過內網訪問RDS執行個體,可以使RDS執行個體免受DDoS攻擊的風險。
流量清洗
只針對外網流入流量進行清洗,處於流量清洗狀態的RDS執行個體可正常訪問。
單個RDS執行個體滿足以下任一條件即觸發流量清洗:
- PPS(Package Per Second)達到3萬。
- BPS(Bits Per Second)達到180Mbps。
- 每秒建立並發串連達到1萬。
- 啟用並發串連數達到1萬。
- 非啟用並發串連數達到10萬。
黑洞處理
只針對外網流入流量進行黑洞處理,處於黑洞狀態的RDS執行個體不可被外網訪問,此時應用程式通常也處於不可用狀態。黑洞處理是保證RDS整體服務可用性的一種手段。
黑洞觸發條件如下:
- BPS(Bits Per Second)達到2Gbps。
- 流量清洗無效。
黑洞結束條件如下:
黑洞在2.5小時後自動解除。