阿里雲為每個公網IP預設提供免費版DDoS防禦功能,可以應對低頻、小規模DDoS攻擊。對於有大流量訴求、進階安全特性、低延遲高穩定通訊等需求,建議購買DDoS原生防護或DDoS高防,並配置防護對象和防護策略。
安全風險
分散式阻斷服務(DDoS)攻擊是當前互連網面臨的最主要的安全威脅之一。攻擊者通過控制大量“殭屍”主機,向單一目標(例如您的網站伺服器或應用API)同時發起海量看似合法的訪問請求。這些請求會瞬間耗盡您伺服器的頻寬、CPU、記憶體或串連數等系統資源,導致伺服器響應緩慢甚至完全癱瘓,從而使正常使用者無法訪問,對您的業務造成直接的經濟損失和品牌聲譽損害。電子商務、線上遊戲、金融支付等業務是DDoS攻擊的重災區,尤其在促銷或重大活動期間,攻擊風險更高。
阿里雲為每個公網IP免費提供了基礎的DDoS防護,預設防禦能力最高不超過5Gbps。這是平台預設提供一層基礎保障。存在一些局限性:
防護閾值有限:在當今動輒數十甚至上百Gbps的攻擊流量面前,5Gbps的防護上限極易被突破。一旦攻擊流量超過此閾值,為了保護阿里雲的地區網路穩定,系統將觸發“黑洞”機制,即將您伺服器的所有公網流量(包括正常訪問流量和攻擊流量)全部丟棄,導致您的業務完全中斷。
防護類型單一:免費版主要針對網路層和傳輸層的常見攻擊(如UDP反射、SYN Flood)進行清洗,但對於應用程式層攻擊(如HTTP Flood,即CC攻擊)無能為力。CC攻擊模模擬實使用者行為,消耗的是伺服器的CPU和記憶體資源,危害性極大。
缺乏精細化策略:免費版採用平台自動化的“一刀切”策略,您無法根據業務特性進行自訂防護配置,也無法獲得詳細的攻擊報表和分析。
最佳實務
收斂公網暴露
使用公網IP和在公網暴露服務是遭受DDoS攻擊的前提,如果業務僅供內部使用或對特定使用者的網路提供服務,應避免公網暴露。更多資訊,請參見收斂ECS執行個體的公網暴露風險、通過內網或專線訪問雲上服務、使用PrivateLink減少非必要的公網通訊。
使用免費版DDoS防護
無需購買和配置,即可享用每個公網IP 500Mbps~5Gbps流量限額的基礎DDoS流量清洗服務。當攻擊流量小於流量限額將智能清洗流量,過濾掉攻擊流量,放通正常訪問流量。免費版DDoS防護僅能提供少數網路層和傳輸層攻擊類型的清洗,如UDP反射攻擊、SYN Flood、ACK Flood攻擊,對於應用程式層攻擊(如CC攻擊),免費版沒有清洗能力。此外當超過限額時會觸發黑洞機制 ,受攻擊IP的流量會暫時都被丟棄掉。免費版適合防禦低頻次、小規模的網路層和傳輸層DDoS攻擊。
使用收費版DDoS防護
免費版DDoS防護能力有限,當單IP攻擊流量超過5Gbps就會將受攻擊IP黑洞掉,此時您在該IP上的業務也會中斷,並且也不能防護應用程式層攻擊。如您遭受大流量攻擊、應用程式層攻擊,或希望有效果更好的進階防護策略,應選擇收費版DDoS防護。
DDoS原生防護:它與您的ECS、SLB等雲產品原生整合,無需更改IP或DNS。當攻擊發生時,流量會在阿里雲的骨幹網路中被自動牽引至專業的清洗中心進行處理,過濾掉攻擊流量後,再將乾淨的業務流量轉寄給您的伺服器。其優勢在於部署透明、延遲極低,並能提供高達數百Gbps乃至Tbps層級的防護能力和精細化的CC攻擊防護策略。如需開通,請參見購買DDoS原生防護執行個體。
DDoS高防:它通過DNS重新導向或IP指向的方式,將業務流量首先引導至全球分布的高防節點。這些節點具備超大頻寬和強大的清洗能力,能有效抵禦超大規模的DDoS攻擊。清洗後的乾淨流量再被安全地轉回您的來源站點伺服器(無論來源站點是否在阿里雲)。這尤其適合需要隱藏來源站點IP的情境。如需開通,請參見購買DDoS高防執行個體。
查看攻擊態勢
公網IP遭到DDoS攻擊的可能性很高(阿里雲每天處理超過10萬次的DDoS攻擊)。如果您在開通服務時並沒有想到DDoS的攻擊威脅和相關加固,當您發現自己的網路服務不可訪問、嚴重逾時、服務能力嚴重下降時,可以前往流量安全-總覽查看現在和歷史的攻擊情況。
設定DDoS攻擊警示
當您的IP遭到DDoS攻擊時,預設不會收到通知。需要參考CloudMonitor警示(DDos原生防護)、CloudMonitor警示(DDos高防)設定警示規則:
流量警示:您在CloudMonitor中為IP設定入方向和出方向的流量閾值,當流量超過該閾值時發送警示通知。因為DDoS攻擊往往使用顯著超過正常訪問流量的攻擊流量實施攻擊。
事件警示:您在CloudMonitor中訂閱DDoS黑洞事件警示和清洗事件警示。當DDoS防護觸發相應動作時,會通過CloudMonitor警示渠道發送通知。