全部產品
Search
文件中心

Elastic Compute Service:DDoS基礎防護

更新時間:Feb 28, 2024

DDoS基礎防護是免費的,並且可有效防止Elastic Compute Service執行個體受到惡意程式發起的DDoS攻擊。即當流入ECS執行個體的流量超出執行個體規格對應的限制時,Security Center將協助ECS執行個體進行限流,以避免出現資料泄露、伺服器中斷連線和業務無法訪問等問題。本文主要介紹DDoS基礎防護的功能和原理。

說明

阿里雲Security Center預設為ECS執行個體免費提供最大5 Gbps的流量攻擊防護,不同執行個體規格的免費防護流量不同,您可以登入Security CenterDDoS防護管理主控台查看實際防護閾值。更多資訊,請參見什麼是Security CenterDDoS基礎防護黑洞閾值

DDoS基礎防護工作原理

啟用DDoS基礎防護後,Security Center會即時監控進入ECS執行個體的流量。當監測到超大流量或者包括DDoS攻擊在內的異常流量時,在不影響正常業務的前提下,Security Center會將可疑流量從原始網路路徑中重新導向到淨化產品上,識別並剝離惡意流量,並將還原的合法流量回注到原始網路中轉寄給目標ECS執行個體。這一過程,就是流量清洗。更多資訊,請參見什麼是DDoS原生防護

說明

啟用了DDoS基礎防護的ECS執行個體,當來自互連網的流量大於5 Gbps時,為保護整個叢集的安全,阿里雲會讓相應ECS執行個體進入黑洞,丟棄進入該執行個體的所有流量,屏蔽公網對它的所有訪問。更多資訊,請參見DDoS防護指南-阿里雲黑洞策略

流量清洗觸發條件

流量清洗的觸發條件包括:

  • 流量模型的特徵。當流量符合攻擊流量特徵時,就會觸發清洗。

  • 流量大小。DDoS攻擊一般流量都非常大,通常都以Gbps為單位,因此,當進入ECS執行個體的流量達到設定的閾值時,無論是否為正常業務流量,Security Center都會啟動流量清洗。

流量清洗方法

流量清洗的方法包括:過濾攻擊報文、限制流量速度、限制資料包速度等。所以,在使用DDoS基礎防護時,您需要設定以下閾值,具體操作,請參見設定流量清洗閾值

  • BPS清洗閾值:當入方向流量超過BPS清洗閾值時,會觸發流量清洗。

  • PPS清洗閾值:當入方向資料包數超過PPS清洗閾值時,會觸發流量清洗。

Elastic Compute Service的清洗閾值

說明

該功能支援的地區包括華南2(河源)、華南3(廣州)、西南1(成都)、華北5(呼和浩特)、華北6(烏蘭察布)、中國香港、阿聯酋(杜拜)、英國(倫敦)、德國(法蘭克福)、澳大利亞(雪梨)、菲律賓(馬尼拉)、馬來西亞(吉隆坡)、印尼(雅加達)、印度(孟買)、日本(東京)、美國(維吉尼亞)、美國(矽谷)和新加坡。

Elastic Compute Service的清洗閾值由購買的公網頻寬和執行個體規格綜合決定,具體計算方式如下表所示。

ECS執行個體購買頻寬(Mbps)

最大BPS清洗閾值(Mbps)

最大PPS清洗閾值(pps)

≤300

MIN(ECS執行個體規格,450)

MIN(ECS執行個體規格,10萬)

>300

MIN(ECS執行個體規格,ECS執行個體購買頻寬*1.5)

MIN(ECS執行個體規格,ECS執行個體購買頻寬*1,000)

說明

例如,購買ECS執行個體規格為ecs.g5.16xlarge,購買頻寬為100 Mbps,該執行個體最大頻寬值為20,000 Mbps,最大網路收發包為400萬。則清洗閾值計算如下表所示。

ECS執行個體購買頻寬(Mbps)

最大BPS清洗閾值(Mbps)

最大PPS清洗閾值(PPS)

100 < 300

MIN(20,000,450)

最終取值為450。

MIN(400萬,10萬)

最終取值為10萬。

最終清洗閾值以流量安全產品控制台顯示為準,更多資訊,請參見資產中心。樣本如下圖所示。資產中心

相關文檔

Elastic Compute Service預設開啟DDoS基礎防護。ECS執行個體建立後,您可以執行以下操作:

  • 設定清洗閾值:ECS執行個體建立後,預設按執行個體規格對應的最大閾值執行DDoS基礎防護。但是,部分執行個體規格的最大清洗閾值(BPS)可能過大,無法起到應有的防護作用,因此,您需要根據實際情況調整清洗閾值。具體操作,請參見DDoS基礎防護使用者指南-DDoS基礎防護設定

  • (不推薦)取消流量清洗:當進入ECS執行個體的流量達到清洗閾值時,無論是否為正常業務流量,Security Center都會啟動流量清洗,此時,可能會導致正常業務不可用或受到影響。為了保證正常業務,您可以手動取消流量清洗。具體操作,請參見DDoS基礎防護使用者指南-如何取消流量清洗

    警告

    取消流量清洗後,當流入ECS執行個體的流量超過對應的黑洞閾值(最大為5 Gbps)時,您的ECS執行個體會進入黑洞。請謹慎操作。

  • 升級使用DDoS高防產品,與傳統DDoS攻擊安全解決方案相比,阿里雲DDoS高防具有部署簡便、BGP網路品質高、防護能力大、系統穩定可用、防護精準,以及先進的AI智能防護技術等優勢。更多資訊,請參見什麼是DDoS高防

  • 有關如何選擇DDoS防護產品的資訊,請參見如何選擇DDoS防護產品