功能可以有效防止Elastic Compute Service執行個體受到惡意攻擊,從而保證ECS系統的穩定,即當流入ECS執行個體的流量超出執行個體規格對應的限制時,雲盾就會幫助ECS執行個體限流,避免ECS系統出現問題。

阿里雲雲盾預設為ECS執行個體免費提供最大5 Gbit/s惡意流量攻擊,不同執行個體規格的免費防護流量不同,您可以登入雲盾DDoS防護管理主控台查看實際防護閾值,詳情請參見 雲盾DDoS基礎防護黑洞閾值

DDoS基礎防護工作原理

啟用DDoS基礎防護後,雲盾會即時監控進入ECS執行個體的流量。當監測到超大流量或者包括DDoS攻擊在內的異常流量時,在不影響正常業務的前提下,雲盾會將可疑流量從原始網路路徑中重新導向到淨化產品上,識別並剝離惡意流量,並將還原的合法流量回注到原始網路中轉寄給目標ECS執行個體。這一過程,就是 流量清洗。更詳細的資訊,請參見 DDoS基礎防護服務-產品架構

说明
啟用了DDoS基礎防護的ECS執行個體,當來自互連網的流量大於5 Gbit/s時,為保護整個叢集的安全,阿里雲會讓相應ECS執行個體進入黑洞,丟棄進入該執行個體的所有流量,屏蔽公網對它的所有訪問。詳細資料,請參見 DDoS防護指南 -阿里雲黑洞策略

流量清洗的觸發條件包括:

  • 流量模型的特徵。當流量符合攻擊流量特徵時,就會觸發清洗。
  • 流量大小。DDoS攻擊一般流量都非常大,通常都以Gbit/s為單位,因此,當進入ECS執行個體的流量達到設定的閾值時,無論是否為正常業務流量,雲盾都會啟動流量清洗。

流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。

所以,在使用DDoS基礎防護時,您需要設定以下閾值:

  • BPS清洗閾值:當入方向流量超過BPS清洗閾值時,會觸發流量清洗。
  • PPS清洗閾值:當入方向資料包數超過PPS清洗閾值時,會觸發流量清洗。

Elastic Compute Service的清洗閾值

Elastic Compute Service的清洗閾值由執行個體規格決定。下表列出了目前 在售已停售 的部分執行個體規格的清洗閾值。

執行個體規格 最大BPS清洗閾值(Mbit/s) 最大PPS清洗閾值(PPS)
ecs.g5.16xlarge 20000 4000000
ecs.g5.22xlarge 30000 4500000
ecs.g5.2xlarge 2500 800000
ecs.g5.4xlarge 5000 1000000
ecs.g5.6xlarge 7500 1500000
ecs.g5.8xlarge 10000 2000000
ecs.g5.large 1000 300000
ecs.g5.xlarge 1500 500000
ecs.sn2ne.14xlarge 10000 4500000
ecs.sn2ne.2xlarge 2000 1000000
ecs.sn2ne.4xlarge 3000 1600000
ecs.sn2ne.8xlarge 6000 2500000
ecs.sn2ne.large 1000 300000
ecs.sn2ne.xlarge 1500 500000
ecs.c5.16xlarge 20000 4000000
ecs.c5.2xlarge 2500 800000
ecs.c5.4xlarge 5000 1000000
ecs.c5.6xlarge 7500 1500000
ecs.c5.8xlarge 10000 2000000
ecs.c5.large 1000 300000
ecs.c5.xlarge 1500 500000
ecs.sn1ne.2xlarge 2000 1000000
ecs.sn1ne.4xlarge 3000 1600000
ecs.sn1ne.8xlarge 6000 2500000
ecs.sn1ne.large 1000 300000
ecs.sn1ne.xlarge 1500 500000
ecs.r5.16xlarge 20000 4000000
ecs.r5.22xlarge 30000 4500000
ecs.r5.2xlarge 2500 800000
ecs.r5.4xlarge 5000 1000000
ecs.r5.6xlarge 7500 1500000
ecs.r5.8xlarge 10000 2000000
ecs.r5.large 1000 300000
ecs.r5.xlarge 1500 500000
ecs.re4.20xlarge 15000 2000000
ecs.re4.40xlarge 30000 4000000
ecs.se1ne.14xlarge 10000 4500000
ecs.se1ne.2xlarge 2000 1000000
ecs.se1ne.4xlarge 3000 1600000
ecs.se1ne.8xlarge 6000 2500000
ecs.se1ne.large 1000 300000
ecs.se1ne.xlarge 1500 500000
ecs.se1.14xlarge 10000 1200000
ecs.se1.2xlarge 1500 400000
ecs.se1.4xlarge 3000 500000
ecs.se1.8xlarge 6000 800000
ecs.se1.large 500 100000
ecs.d1ne.2xlarge 6000 1000000
ecs.d1ne.4xlarge 12000 1600000
ecs.d1ne.6xlarge 16000 2000000
ecs.d1ne.8xlarge 20000 2500000
ecs.d1ne.14xlarge 35000 4500000
ecs.d1.2xlarge 3000 300000
ecs.d1.4xlarge 6000 600000
ecs.d1.6xlarge 8000 800000
ecs.d1.8xlarge 10000 1000000
ecs.d1-c8d3.8xlarge 10000 1000000
ecs.d1.14xlarge 17000 1800000
ecs.d1-c14d3.14xlarge 17000 1400000
ecs.i2.xlarge 1000 500000
ecs.i2.2xlarge 2000 1000000
ecs.i2.4xlarge 3000 1500000
ecs.i2.8xlarge 6000 2000000
ecs.i2.16xlarge 10000 4000000
ecs.i1.xlarge 800 200000
ecs.i1.2xlarge 1500 400000
ecs.i1.4xlarge 3000 500000
ecs.i1-c10d1.8xlarge 6000 800000
ecs.i1-c5d1.4xlarge 3000 400000
ecs.i1.14xlarge 10000 1200000
ecs.hfc5.large 1000 300000
ecs.hfc5.xlarge 1500 500000
ecs.hfc5.2xlarge 2000 1000000
ecs.hfc5.4xlarge 3000 1600000
ecs.hfc5.6xlarge 4500 2000000
ecs.hfc5.8xlarge 6000 2500000
ecs.hfg5.large 1000 300000
ecs.hfg5.xlarge 1500 500000
ecs.hfg5.2xlarge 2000 1000000
ecs.hfg5.4xlarge 3000 1600000
ecs.hfg5.6xlarge 4500 2000000
ecs.hfg5.8xlarge 6000 2500000
ecs.hfg5.14xlarge 10000 4000000
ecs.c4.2xlarge 3000 400000
ecs.c4.4xlarge 6000 800000
ecs.c4.xlarge 1500 200000
ecs.ce4.xlarge 1500 200000
ecs.cm4.4xlarge 6000 800000
ecs.cm4.6xlarge 10000 1200000
ecs.cm4.xlarge 1500 200000
ecs.gn5-c28g1.14xlarge 10000 4500000
ecs.gn5-c4g1.xlarge 3000 300000
ecs.gn5-c4g1.2xlarge 5000 1000000
ecs.gn5-c8g1.2xlarge 3000 400000
ecs.gn5-c8g1.4xlarge 5000 1000000
ecs.gn5-c28g1.7xlarge 5000 2250000
ecs.gn5-c8g1.8xlarge 10000 2000000
ecs.gn5-c8g1.14xlarge 25000 4000000
ecs.gn5i-c2g1.large 1000 100000
ecs.gn5i-c4g1.xlarge 1500 200000
ecs.gn5i-c8g1.2xlarge 2000 400000
ecs.gn5i-c16g1.4xlarge 3000 800000
ecs.gn5i-c28g1.14xlarge 10000 2000000
ecs.gn4-c4g1.xlarge 3000 300000
ecs.gn4-c8g1.2xlarge 3000 400000
ecs.gn4-c4g1.2xlarge 5000 500000
ecs.gn4-c8g1.4xlarge 5000 500000
ecs.gn4.8xlarge 6000 800000
ecs.gn4.14xlarge 10000 1200000
ecs.ga1.xlarge 1000 200000
ecs.ga1.2xlarge 1500 300000
ecs.ga1.4xlarge 3000 500000
ecs.ga1.8xlarge 6000 800000
ecs.ga1.14xlarge 10000 1200000
ecs.f1-c28f1.7xlarge 5000 2000000
ecs.f1-c8f1.2xlarge 2000 800000
ecs.f2-c28f1.14xlarge 10000 2000000
ecs.f2-c28f1.7xlarge 5000 1000000
ecs.f2-c8f1.2xlarge 2000 400000
ecs.f2-c8f1.4xlarge 5000 1000000
ecs.t5-c1m1.2xlarge 1200 400000
ecs.t5-c1m1.large 500 100000
ecs.t5-c1m1.xlarge 800 200000
ecs.t5-c1m1.4xlarge 1200 600000
ecs.t5-c1m2.2xlarge 1200 400000
ecs.t5-c1m2.large 500 100000
ecs.t5-c1m2.xlarge 800 200000
ecs.t5-c1m2.4xlarge 1200 600000
ecs.t5-c1m4.2xlarge 1200 400000
ecs.t5-c1m4.large 500 100000
ecs.t5-c1m4.xlarge 800 200000
ecs.t5-lc1m1.small 200 60000
ecs.t5-lc1m2.large 400 100000
ecs.t5-lc1m2.small 200 60000
ecs.t5-lc1m4.large 400 100000
ecs.t5-lc2m1.nano 100 40000
ecs.ebmg4.8xlarge 10000 4500000
ecs.ebmg5.24xlarge 10000 4500000
ecs.sccg5.24xlarge 10000 4500000
ecs.xn4.small 500 50000
ecs.mn4.small 500 50000
ecs.mn4.large 500 100000
ecs.mn4.xlarge 800 150000
ecs.mn4.2xlarge 1200 300000
ecs.mn4.4xlarge 2500 400000
ecs.n4.small 500 50000
ecs.n4.large 500 100000
ecs.n4.xlarge 800 150000
ecs.n4.2xlarge 1200 300000
ecs.n4.4xlarge 2500 400000
ecs.n4.8xlarge 5000 500000
ecs.e4.small 500 50000
ecs.sn1.medium 500 100000
ecs.sn1.large 800 200000
ecs.sn1.xlarge 1500 400000
ecs.sn1.3xlarge 3000 500000
ecs.sn1.7xlarge 6000 800000
ecs.sn2.medium 500 100000
ecs.sn2.large 800 200000
ecs.sn2.xlarge 1500 400000
ecs.sn2.3xlarge 3000 500000
ecs.sn2.7xlarge 6000 800000
ecs.sn2.13xlarge 10000 120000

相關操作

Elastic Compute Service預設開啟DDoS基礎防護。ECS執行個體建立後,您可以執行以下操作:

  • 設定清洗閾值:ECS執行個體建立後,預設按執行個體規格對應的最大閾值執行DDoS基礎防護。但是,部分執行個體規格的最大清洗閾值(BPS)可能過大,無法起到應有的防護作用,所以,您需要根據實際情況調整清洗閾值,具體操作,請參見 DDoS基礎防護使用者指南-DDoS基礎防護設定

  • (不推薦)取消流量清洗:當進入ECS執行個體的流量達到清洗閾值時,無論是否為正常業務流量,雲盾都會啟動流量清洗,此時,可能會導致正常業務不可用或受影響。為了保證正常業務,您可以手動取消流量清洗。具體操作,請參見 DDoS基礎防護使用者指南-如何取消流量清洗

    警告
    取消流量清洗後,當流入ECS執行個體的流量超過5 Gbit/s時,您的ECS執行個體會被打進黑洞。請謹慎操作。