全部产品
Search

搜索本产品

    DDoS 防护:什么是DDoS基础防护

    文档中心

    DDoS 防护:什么是DDoS基础防护

    更新时间:Jun 18, 2026

    阿里云为部分云产品免费提供500 Mbps~5 Gbps的DDoS基础防护能力,以抵御常见的网络层、传输层DDoS攻击。本文介绍什么是DDoS基础防护。

    产品介绍

    DDoS基础防护是阿里云自带的一项免费安全服务,为云服务器 ECS、负载均衡 SLB、弹性公网 IP 等公网 IP 资产提供免费DDoS防护能力。在阿里云租用服务器或开通具有公网 IP 的云产品后,DDoS基础防护自动生效,提供网络层和传输层的攻击防御及流量清洗能力,无需额外购买或配置,默认开启且不支持关闭。提供的免费DDoS防护能力为 500 Mbps~5 Gbps,各云产品的具体防护能力,请参见DDoS基础防护黑洞阈值

    说明

    在遭受频繁攻击的情况下,平台会根据客户的历史攻击记录调整防护能力,以确保平台整体稳定。

    在正常情况下,DDoS基础防护一般不会影响用户的正常访问,但鉴于攻击方式(例如HTTP_Flood、SYN_Flood,ACK_Flood等)、攻击手段以及用户自身业务场景(例如超过平台、产品本身规格)可能会对访问造成影响。如果DDoS基础防护无法满足需求,您可以选择DDoS原生防护或DDoS高防等更高级别的防护产品。详细介绍,请参见什么是DDoS原生防护什么是DDoS高防以及如何选择DDoS防护产品

    防护原理说明

    DDoS基础防护会默认设置清洗阈值,也支持您手动设置清洗阈值,当触发流量清洗条件时,DDoS基础防护通过对所有来自互联网的流量进行过滤清洗,防御一般常见的网络层、传输层攻击,例如UDP反射攻击、SYN/ACK Flood攻击等,但DDoS基础防护不支持抵御应用层攻击,例如HTTP Flood攻击和CC攻击。

    DDoS基础防护在清洗判定中除了基于您设置的BPS/PPS清洗阈值外,还采用了AI智能分析的方法,基于阿里云的大数据能力,自学习您的业务流量基线,并结合算法识别异常攻击。只有当AI智能分析检测到DDoS攻击,且请求流量达到您设置的BPS或PPS清洗阈值时,DDoS防护才会触发流量清洗,避免了使用固定阈值可能导致的误清洗(例如,正常业务上涨波动超出固定清洗阈值,引起误清洗)。

    如果入方向流量超过防护能力(即黑洞阈值),为避免DDoS攻击对云产品产生更大损害,同时也避免单个云产品被DDoS攻击而影响其他资产正常运行,云产品会进入黑洞,即阿里云会暂时屏蔽云产品的互联网入方向流量。详细介绍,请参见阿里云黑洞策略

    支持防护的云产品

    ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA、AnyCastEIP

    image

    支持的地域

    DDoS基础防护支持的地域请参见下表。

    区域

    地域

    亚太

    泰国(曼谷)、菲律宾(马尼拉)、日本(东京)、印度尼西亚(雅加达)、马来西亚(吉隆坡)、韩国(首尔)、新加坡、中国香港、西南1(成都)、华南3(广州)、华南2(河源)、华南1(深圳)、华北6(乌兰察布)、华北5(呼和浩特)、华北3(张家口)、华北2(北京)、华北1(青岛)、华东6(福州-本地地域)、华东5(南京-本地地域)、华东2(上海)、华东1(杭州)

    欧洲与美洲

    英国(伦敦)、德国(法兰福克)、美国(弗吉尼亚)、美国(硅谷)

    中东

    沙特(利雅得)、阿联酋(迪拜)

    术语介绍

    • 网络层攻击:常见攻击类型包括UDP反射类攻击、大流量SYN、ACK Flood攻击,不符合IP协议的畸形报文。此类攻击以消耗服务器带宽资源从而达到拒绝服务的目的。

    • 应用层攻击:常见攻击类型包括HTTP Flood攻击、CC攻击以及DNS Flood,是基于业务特征的消耗型攻击。此类攻击以消耗服务器处理性能从而达到拒绝服务的目的。

    常见问题

    • 为什么实例会遭受DDoS攻击?

      DDoS攻击(如流量型攻击/Volumetric Attack)是互联网上常见的恶意行为。攻击者通过控制大量僵尸网络,向目标发送海量恶意流量,以耗尽目标的带宽资源,导致正常用户无法访问。

      任何暴露在公网的 IP 资产都可能成为DDoS攻击的目标,这并非仅针对特定用户或特定业务。遭受DDoS攻击的常见原因包括:

      • 业务具有较高的互联网可见性,容易被攻击者发现。

      • 行业竞争或恶意报复导致的定向攻击。

      • 服务器 IP 被攻击者随机扫描并列入攻击列表。

      阿里云DDoS基础防护会自动检测异常流量并启动流量清洗,过滤攻击流量以保障正常业务访问。如果攻击流量超过DDoS基础防护的防护能力,建议升级至DDoS原生防护或DDoS高防以获得更高级别的防护。

    • DDoS基础防护支持拦截 UDP 包和流量吗

      DDoS基础防护默认会拦截超大 UDP 包和分片 UDP 流量。由于UDP反射攻击通常利用大包或分片报文来放大攻击流量,DDoS基础防护通过对此类流量进行过滤拦截,可以有效防御此类攻击。

      但是,该拦截机制可能影响依赖 UDP 大包或分片 UDP 传输的正常业务。例如,使用 GB28181 协议进行国标级联的视频监控业务,可能因 UDP 大包或分片流量被拦截而出现级联失败、视频流中断等异常。

      如果业务必须使用大包 UDP 或分片 UDP 流量,建议升级至DDoS高防等支持自定义UDP防护策略的高级防护产品,以避免合法业务流量被误拦截。详细介绍,请参见什么是DDoS原生防护

    相关文档