防 DDoS 攻擊

當使用者使用外網串連和訪問 RDS 執行個體時,可能會遭受 DDoS 攻擊。RDS提供流量清洗和黑洞處理功能,完全由系統自動觸發和結束。當 RDS 安全體系認為使用者執行個體正在遭受 DDoS 攻擊時,會首先啟動流量清洗功能,如果流量清洗無法抵禦攻擊或者攻擊達到黑洞閾值,則會進行黑洞處理。

说明 建議使用者通過內網訪問 RDS 執行個體,可以使 RDS 執行個體免受 DDoS 攻擊的風險。

流量清洗

只針對外網流入流量進行清洗,處於流量清洗狀態的 RDS 執行個體可正常訪問。

單個 RDS 執行個體滿足以下任一條件即觸發流量清洗:

  • PPS(Package Per Second)達到 3 萬;
  • BPS(Bits Per Second)達到 180 Mbps;
  • 每秒建立並發串連達到 1 萬;
  • 啟用並發串連數達到 1 萬;
  • 非啟用並發串連數達到 10 萬。

黑洞處理

只針對外網流入流量進行黑洞處理,處於黑洞狀態的 RDS 執行個體不可被外網訪問,此時應用程式通常也處於不可用狀態。黑洞處理是保證 RDS 整體服務可用性的一種手段。

黑洞觸發條件如下:

  • BPS(Bits Per Second)達到 2 Gbps;
  • 流量清洗無效。

黑洞結束條件如下:

  • 黑洞在 2.5 小時後自動解除。

檢測SQL注入威脅

Security Center基於第三代SQL注入威脅檢測資料智能演算法引擎,支援檢測RDS的SQL注入威脅,即時識別潛在的資料安全風險。詳情請參見SQL注入威脅檢測