功能可以有效防止Elastic Compute Service執行個體受到惡意攻擊,從而保證ECS系統的穩定,即當流入ECS執行個體的流量超出執行個體規格對應的限制時,雲盾就會幫助ECS執行個體限流,避免ECS系統出現問題。
阿里雲雲盾預設為ECS執行個體免費提供最大5 Gbit/s惡意流量攻擊,不同執行個體規格的免費防護流量不同,您可以登入雲盾DDoS防護管理主控台查看實際防護閾值,詳情請參見 雲盾DDoS基礎防護黑洞閾值。
DDoS基礎防護工作原理
啟用DDoS基礎防護後,雲盾會即時監控進入ECS執行個體的流量。當監測到超大流量或者包括DDoS攻擊在內的異常流量時,在不影響正常業務的前提下,雲盾會將可疑流量從原始網路路徑中重新導向到淨化產品上,識別並剝離惡意流量,並將還原的合法流量回注到原始網路中轉寄給目標ECS執行個體。這一過程,就是 流量清洗。更詳細的資訊,請參見 DDoS基礎防護服務-產品架構。
 |
说明 |
| 啟用了DDoS基礎防護的ECS執行個體,當來自互連網的流量大於5 Gbit/s時,為保護整個叢集的安全,阿里雲會讓相應ECS執行個體進入黑洞,丟棄進入該執行個體的所有流量,屏蔽公網對它的所有訪問。詳細資料,請參見 DDoS防護指南 -阿里雲黑洞策略。 |
流量清洗的觸發條件包括:
- 流量模型的特徵。當流量符合攻擊流量特徵時,就會觸發清洗。
- 流量大小。DDoS攻擊一般流量都非常大,通常都以Gbit/s為單位,因此,當進入ECS執行個體的流量達到設定的閾值時,無論是否為正常業務流量,雲盾都會啟動流量清洗。
流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。
所以,在使用DDoS基礎防護時,您需要設定以下閾值:
- BPS清洗閾值:當入方向流量超過BPS清洗閾值時,會觸發流量清洗。
- PPS清洗閾值:當入方向資料包數超過PPS清洗閾值時,會觸發流量清洗。
Elastic Compute Service的清洗閾值
Elastic Compute Service的清洗閾值由執行個體規格決定。下表列出了目前 在售 和 已停售 的部分執行個體規格的清洗閾值。
| 執行個體規格 | 最大BPS清洗閾值(Mbit/s) | 最大PPS清洗閾值(PPS) |
|---|---|---|
| ecs.g5.16xlarge | 20000 | 4000000 |
| ecs.g5.22xlarge | 30000 | 4500000 |
| ecs.g5.2xlarge | 2500 | 800000 |
| ecs.g5.4xlarge | 5000 | 1000000 |
| ecs.g5.6xlarge | 7500 | 1500000 |
| ecs.g5.8xlarge | 10000 | 2000000 |
| ecs.g5.large | 1000 | 300000 |
| ecs.g5.xlarge | 1500 | 500000 |
| ecs.sn2ne.14xlarge | 10000 | 4500000 |
| ecs.sn2ne.2xlarge | 2000 | 1000000 |
| ecs.sn2ne.4xlarge | 3000 | 1600000 |
| ecs.sn2ne.8xlarge | 6000 | 2500000 |
| ecs.sn2ne.large | 1000 | 300000 |
| ecs.sn2ne.xlarge | 1500 | 500000 |
| ecs.c5.16xlarge | 20000 | 4000000 |
| ecs.c5.2xlarge | 2500 | 800000 |
| ecs.c5.4xlarge | 5000 | 1000000 |
| ecs.c5.6xlarge | 7500 | 1500000 |
| ecs.c5.8xlarge | 10000 | 2000000 |
| ecs.c5.large | 1000 | 300000 |
| ecs.c5.xlarge | 1500 | 500000 |
| ecs.sn1ne.2xlarge | 2000 | 1000000 |
| ecs.sn1ne.4xlarge | 3000 | 1600000 |
| ecs.sn1ne.8xlarge | 6000 | 2500000 |
| ecs.sn1ne.large | 1000 | 300000 |
| ecs.sn1ne.xlarge | 1500 | 500000 |
| ecs.r5.16xlarge | 20000 | 4000000 |
| ecs.r5.22xlarge | 30000 | 4500000 |
| ecs.r5.2xlarge | 2500 | 800000 |
| ecs.r5.4xlarge | 5000 | 1000000 |
| ecs.r5.6xlarge | 7500 | 1500000 |
| ecs.r5.8xlarge | 10000 | 2000000 |
| ecs.r5.large | 1000 | 300000 |
| ecs.r5.xlarge | 1500 | 500000 |
| ecs.re4.20xlarge | 15000 | 2000000 |
| ecs.re4.40xlarge | 30000 | 4000000 |
| ecs.se1ne.14xlarge | 10000 | 4500000 |
| ecs.se1ne.2xlarge | 2000 | 1000000 |
| ecs.se1ne.4xlarge | 3000 | 1600000 |
| ecs.se1ne.8xlarge | 6000 | 2500000 |
| ecs.se1ne.large | 1000 | 300000 |
| ecs.se1ne.xlarge | 1500 | 500000 |
| ecs.se1.14xlarge | 10000 | 1200000 |
| ecs.se1.2xlarge | 1500 | 400000 |
| ecs.se1.4xlarge | 3000 | 500000 |
| ecs.se1.8xlarge | 6000 | 800000 |
| ecs.se1.large | 500 | 100000 |
| ecs.d1ne.2xlarge | 6000 | 1000000 |
| ecs.d1ne.4xlarge | 12000 | 1600000 |
| ecs.d1ne.6xlarge | 16000 | 2000000 |
| ecs.d1ne.8xlarge | 20000 | 2500000 |
| ecs.d1ne.14xlarge | 35000 | 4500000 |
| ecs.d1.2xlarge | 3000 | 300000 |
| ecs.d1.4xlarge | 6000 | 600000 |
| ecs.d1.6xlarge | 8000 | 800000 |
| ecs.d1.8xlarge | 10000 | 1000000 |
| ecs.d1-c8d3.8xlarge | 10000 | 1000000 |
| ecs.d1.14xlarge | 17000 | 1800000 |
| ecs.d1-c14d3.14xlarge | 17000 | 1400000 |
| ecs.i2.xlarge | 1000 | 500000 |
| ecs.i2.2xlarge | 2000 | 1000000 |
| ecs.i2.4xlarge | 3000 | 1500000 |
| ecs.i2.8xlarge | 6000 | 2000000 |
| ecs.i2.16xlarge | 10000 | 4000000 |
| ecs.i1.xlarge | 800 | 200000 |
| ecs.i1.2xlarge | 1500 | 400000 |
| ecs.i1.4xlarge | 3000 | 500000 |
| ecs.i1-c10d1.8xlarge | 6000 | 800000 |
| ecs.i1-c5d1.4xlarge | 3000 | 400000 |
| ecs.i1.14xlarge | 10000 | 1200000 |
| ecs.hfc5.large | 1000 | 300000 |
| ecs.hfc5.xlarge | 1500 | 500000 |
| ecs.hfc5.2xlarge | 2000 | 1000000 |
| ecs.hfc5.4xlarge | 3000 | 1600000 |
| ecs.hfc5.6xlarge | 4500 | 2000000 |
| ecs.hfc5.8xlarge | 6000 | 2500000 |
| ecs.hfg5.large | 1000 | 300000 |
| ecs.hfg5.xlarge | 1500 | 500000 |
| ecs.hfg5.2xlarge | 2000 | 1000000 |
| ecs.hfg5.4xlarge | 3000 | 1600000 |
| ecs.hfg5.6xlarge | 4500 | 2000000 |
| ecs.hfg5.8xlarge | 6000 | 2500000 |
| ecs.hfg5.14xlarge | 10000 | 4000000 |
| ecs.c4.2xlarge | 3000 | 400000 |
| ecs.c4.4xlarge | 6000 | 800000 |
| ecs.c4.xlarge | 1500 | 200000 |
| ecs.ce4.xlarge | 1500 | 200000 |
| ecs.cm4.4xlarge | 6000 | 800000 |
| ecs.cm4.6xlarge | 10000 | 1200000 |
| ecs.cm4.xlarge | 1500 | 200000 |
| ecs.gn5-c28g1.14xlarge | 10000 | 4500000 |
| ecs.gn5-c4g1.xlarge | 3000 | 300000 |
| ecs.gn5-c4g1.2xlarge | 5000 | 1000000 |
| ecs.gn5-c8g1.2xlarge | 3000 | 400000 |
| ecs.gn5-c8g1.4xlarge | 5000 | 1000000 |
| ecs.gn5-c28g1.7xlarge | 5000 | 2250000 |
| ecs.gn5-c8g1.8xlarge | 10000 | 2000000 |
| ecs.gn5-c8g1.14xlarge | 25000 | 4000000 |
| ecs.gn5i-c2g1.large | 1000 | 100000 |
| ecs.gn5i-c4g1.xlarge | 1500 | 200000 |
| ecs.gn5i-c8g1.2xlarge | 2000 | 400000 |
| ecs.gn5i-c16g1.4xlarge | 3000 | 800000 |
| ecs.gn5i-c28g1.14xlarge | 10000 | 2000000 |
| ecs.gn4-c4g1.xlarge | 3000 | 300000 |
| ecs.gn4-c8g1.2xlarge | 3000 | 400000 |
| ecs.gn4-c4g1.2xlarge | 5000 | 500000 |
| ecs.gn4-c8g1.4xlarge | 5000 | 500000 |
| ecs.gn4.8xlarge | 6000 | 800000 |
| ecs.gn4.14xlarge | 10000 | 1200000 |
| ecs.ga1.xlarge | 1000 | 200000 |
| ecs.ga1.2xlarge | 1500 | 300000 |
| ecs.ga1.4xlarge | 3000 | 500000 |
| ecs.ga1.8xlarge | 6000 | 800000 |
| ecs.ga1.14xlarge | 10000 | 1200000 |
| ecs.f1-c28f1.7xlarge | 5000 | 2000000 |
| ecs.f1-c8f1.2xlarge | 2000 | 800000 |
| ecs.f2-c28f1.14xlarge | 10000 | 2000000 |
| ecs.f2-c28f1.7xlarge | 5000 | 1000000 |
| ecs.f2-c8f1.2xlarge | 2000 | 400000 |
| ecs.f2-c8f1.4xlarge | 5000 | 1000000 |
| ecs.t5-c1m1.2xlarge | 1200 | 400000 |
| ecs.t5-c1m1.large | 500 | 100000 |
| ecs.t5-c1m1.xlarge | 800 | 200000 |
| ecs.t5-c1m1.4xlarge | 1200 | 600000 |
| ecs.t5-c1m2.2xlarge | 1200 | 400000 |
| ecs.t5-c1m2.large | 500 | 100000 |
| ecs.t5-c1m2.xlarge | 800 | 200000 |
| ecs.t5-c1m2.4xlarge | 1200 | 600000 |
| ecs.t5-c1m4.2xlarge | 1200 | 400000 |
| ecs.t5-c1m4.large | 500 | 100000 |
| ecs.t5-c1m4.xlarge | 800 | 200000 |
| ecs.t5-lc1m1.small | 200 | 60000 |
| ecs.t5-lc1m2.large | 400 | 100000 |
| ecs.t5-lc1m2.small | 200 | 60000 |
| ecs.t5-lc1m4.large | 400 | 100000 |
| ecs.t5-lc2m1.nano | 100 | 40000 |
| ecs.ebmg4.8xlarge | 10000 | 4500000 |
| ecs.ebmg5.24xlarge | 10000 | 4500000 |
| ecs.sccg5.24xlarge | 10000 | 4500000 |
| ecs.xn4.small | 500 | 50000 |
| ecs.mn4.small | 500 | 50000 |
| ecs.mn4.large | 500 | 100000 |
| ecs.mn4.xlarge | 800 | 150000 |
| ecs.mn4.2xlarge | 1200 | 300000 |
| ecs.mn4.4xlarge | 2500 | 400000 |
| ecs.n4.small | 500 | 50000 |
| ecs.n4.large | 500 | 100000 |
| ecs.n4.xlarge | 800 | 150000 |
| ecs.n4.2xlarge | 1200 | 300000 |
| ecs.n4.4xlarge | 2500 | 400000 |
| ecs.n4.8xlarge | 5000 | 500000 |
| ecs.e4.small | 500 | 50000 |
| ecs.sn1.medium | 500 | 100000 |
| ecs.sn1.large | 800 | 200000 |
| ecs.sn1.xlarge | 1500 | 400000 |
| ecs.sn1.3xlarge | 3000 | 500000 |
| ecs.sn1.7xlarge | 6000 | 800000 |
| ecs.sn2.medium | 500 | 100000 |
| ecs.sn2.large | 800 | 200000 |
| ecs.sn2.xlarge | 1500 | 400000 |
| ecs.sn2.3xlarge | 3000 | 500000 |
| ecs.sn2.7xlarge | 6000 | 800000 |
| ecs.sn2.13xlarge | 10000 | 120000 |
相關操作
Elastic Compute Service預設開啟DDoS基礎防護。ECS執行個體建立後,您可以執行以下操作:
-
設定清洗閾值:ECS執行個體建立後,預設按執行個體規格對應的最大閾值執行DDoS基礎防護。但是,部分執行個體規格的最大清洗閾值(BPS)可能過大,無法起到應有的防護作用,所以,您需要根據實際情況調整清洗閾值,具體操作,請參見 DDoS基礎防護使用者指南-DDoS基礎防護設定。
-
(不推薦)取消流量清洗:當進入ECS執行個體的流量達到清洗閾值時,無論是否為正常業務流量,雲盾都會啟動流量清洗,此時,可能會導致正常業務不可用或受影響。為了保證正常業務,您可以手動取消流量清洗。具體操作,請參見 DDoS基礎防護使用者指南-如何取消流量清洗。
警告 取消流量清洗後,當流入ECS執行個體的流量超過5 Gbit/s時,您的ECS執行個體會被打進黑洞。請謹慎操作。