全部产品
Search
文档中心

DDoS 防护:常见问题

更新时间:Nov 15, 2023

本文列举了DDoS原生防护(基础版&企业版)产品相关的常见问题。

基础版(DDoS基础防护)

我的ECS服务器被20 Mb的流量攻击了,DDoS原生防护基础版怎么不防护?

DDoS原生防护基础版是公共的DDoS防护服务,不对很小的流量攻击(小于100 Mb)进行防护。建议您优化服务器性能、安装云锁等主机防火墙或者购买DDoS高防服务应对小于100 Mb的流量攻击。关于如何购买DDoS高防服务,请参见购买DDoS高防实例

为什么使用DDoS基础防护时,黑洞不能立即取消?

通常DDoS攻击会持续一段时间,不会在黑洞后立即停止,攻击持续时间不定,阿里云安全团队会根据智能算法分析的结果,自动生成黑洞时长。黑洞时长一般在30分钟到24小时,极少数情况下,如果DDoS攻击频繁阿里云可能会延长黑洞时长。

黑洞产生在运营商网络上,会将去往目的IP的流量在尽可能源头的地方丢弃,防止DDoS攻击导致整体网络和客户所有业务不可用。如果在攻击未停止的情况下解除黑洞,被攻击IP将会再次进入黑洞,同时在解除黑洞至再次黑洞的这段时间内,攻击流量将会影响到云上其他租户。此外,运营商黑洞操作在运营商骨干网上,解除次数和频率都有限制,因此不能为您立即解除黑洞,请您理解。

解除黑洞并不能防御攻击,频繁的黑洞路由翻滚也会影响网络稳定。解决DDoS攻击导致黑洞和业务不可用的最佳方案是提高防御带宽,采用商业防护。比如购买阿里云的DDoS原生防护企业版、DDoS高防服务,或者选择第三方DDoS防护服务。更多信息,请参见什么是DDoS原生防护什么是DDoS高防(新BGP&国际)

是否可以通过访问控制策略(ACL)屏蔽DDoS攻击及预防黑洞?

不可以。ACL只能在服务器边缘生效,无法阻挡从大量“僵尸”网络汇集的DDoS攻击流量,通过互联网一级级传递到云网络,并抵达服务器边缘。DDoS攻击流量抵达服务器边缘时,其规模已远超服务器ACL的处置能力。因此,要防御DDoS攻击,需要在上层网络边界部署防护策略。

对抗DDoS攻击的关键是通过足够大的网络带宽,并结合流量分析和过滤手段,将其中的攻击流量清洗掉。如果依赖将服务器带宽扩容到与攻击等规模的带宽,并部署清洗集群进行流量清洗,将会产生单一客户无法承担的带宽和服务器成本。如果不同客户分别在目的端建设DDoS清洗设施,则进一步加剧了攻防成本的不对等。

因此,经济有效的DDoS防御方式是由云服务供应商集中建设大容量的网络带宽并在上层网络部署清洗设施,以近源方式清洗DDoS攻击流量,同时通过SaaS服务的形式将DDoS防御服务提供给有需求的客户采购,使清洗资源可以复用,从而降低单客户防御DDoS的成本。

为什么云监控、云产品流量监控中的流量数据和DDoS防护的流量监控数据有差异?

一般情况下,DDoS防护的流量监控数据大于您在云监控或具体云产品数据页面看到的流量数据。

示例:假设您的ECS实例遭受了DDoS攻击,触发流量清洗,您收到DDoS原生防护基础版的清洗通知,触发清洗时的流量为2.5 Gbps。但是,您在云监控中查询发现,流量清洗时ECS实例的弹性公网IP上的网络流入带宽约为1.2 Gbps。eip

出现上述情况,主要有以下几个原因:

  • DDoS防护的流量监控数据来自流量清洗前,而云监控中的流量数据来自流量清洗后。

  • DDoS防护的流量监控数据对应全部业务请求流量(包含攻击流量),而云监控中的流量数据只包含正常转发流量。

  • 监控颗粒度不同。DDoS防护的监控颗粒度更精细,在判断攻击时,监控颗粒度是秒级。云监控的EIP流量图则是分钟级别的数据。

  • 监控位置不同。DDoS防护在互联网和阿里云网络边界监控流量,而EIP的流量数据采集自转发设备。

说明

ECS、SLB、EIP、NAT等所有公网IaaS产品都可能会遇到上述问题。

DDoS原生防护企业版的全力防护和DDoS高防(新BGP)的弹性防护的计费模式有什么区别?

  • DDoS原生防护企业版提供全力防护(原生防护)能力。当遭受攻击时,自动调度该企业版DDoS原生防护实例所在地域的阿里云最大DDoS防护能力提供全力防护。全力防护服务包含在企业版套餐中,不额外产生弹性防护费用。

  • DDoS高防(新BGP)服务的弹性防护计费按照当日弹性带宽的流量峰值进行计费。更多信息,请参见DDoS高防(新BGP)计费说明

DDoS原生防护企业版所防护的IP被黑洞了该怎么办?

DDoS原生防护企业版支持黑洞解除功能。

  • 如果防护对象处于黑洞中状态,您可以使用手动解除黑洞功能,具体操作请参见解除黑洞

  • 您还可以参见黑洞自动解除最佳实践,实现已防护IP的黑洞自动化响应和快速解除。

如果购买时选错了DDoS原生防护实例的地域该怎么办?

如果您想要防护的IP与所购买的DDoS原生防护企业版实例的地域不一致,请通过工单联系技术支持人员申请退款,然后重新购买新的DDoS原生防护企业版实例。

添加防护IP时,企业版实例的防护IP容量已占满该怎么办?

如果您想要防护的IP数量超过了您购买的原生防护企业版实例的保护IP数量(即防护IP容量),您可以选择扩展当前实例的保护IP数量或者重新购买新的企业版实例,相关操作请参见升级实例规格购买DDoS原生防护实例

添加防护IP时收到“IP不属于你”的错误提示该怎么办?

如果您在为DDoS原生防护企业版设置防护对象IP时,收到了IP不属于你的错误提示,请按照以下步骤进行排查:

  1. 检查您所输入的IP地址,确认输入的IP地址正确无误。

  2. 检查您想要添加的防护IP对应的云产品所属的地域,确认该地域与您所购买的DDoS原生防护企业版实例的所属地域一致。

  3. 如果您想要添加的防护IP是WAF IP,检查该WAF实例的所属地域,确认DDoS原生防护企业版支持该地域。关于DDoS原生防护企业版支持的地域,请参见什么是DDoS原生防护

开通多账号统一管理后,已在成员账号下防护的公网IP资产,如何改为使用管理账号进行防护?

由于一个公网IP资产仅支持使用一个实例进行防护,您需要先在成员账号下把该防护对象删除,再在管理账号下添加该防护对象。如何删除、添加防护对象,请参见防护对象