全部产品
Search
文档中心

DDoS 防护:设置近源流量压制

更新时间:Feb 22, 2024

近源流量压制是指对业务中电信、联通线路的非中国内地流量进行封禁,在靠近攻击源的位置丢弃流量,降低DDoS高防进入黑洞的可能性。每个用户总共拥有10次触发近源流量压制的额度,封禁期间支持随时解除。本文介绍如何设置近源流量压制。

应用场景

当您的DDoS高防实例遭遇特大流量攻击,并且发现攻击流量有超过实例最大防护能力的趋势时,建议您考虑使用近源流量压制。一般情况下,假如海外攻击流量占比30%左右,通过封禁海外流量即可大大缓解防御压力,将攻击规模控制在实例最大防护能力范围内。

区域封禁VS近源流量压制

区域封禁在DDoS高防清洗机房内部实现,在靠近被攻击目标的位置丢弃特定区域的流量(近目的流量封禁)。区域封禁根据源IP的归属地域在DDoS高防中识别过滤,并不能减少进入高防网络的攻击流量,适用于防护连接资源消耗型攻击。更多信息,请参见设置区域封禁

相比于区域封禁,近源流量压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量,降低DDoS高防进入黑洞的可能性。

策略生效时长

由您自定义,支持15分钟~24小时。

使用限制

  • 仅DDoS高防(中国内地)支持近源流量压制功能,DDoS高防(非中国内地)服务不支持。

  • 一个阿里云账号总共拥有10次封禁机会,封禁一次电信或联通海外流量都会消耗一次额度,不支持增加封禁次数。

前提条件

已购买DDoS高防(中国内地)实例。相关操作,请参见购买DDoS高防实例

操作步骤

  1. 登录DDoS高防控制台

  2. 在顶部导航栏,选择中国内地地域。

  3. 在左侧导航栏,选择防护设置 > 通用防护策略

  4. 基础设施DDoS防护页签下,从左侧实例列表中选择要设置的DDoS高防实例。

    说明

    您可以使用实例ID、实例备注搜索目标实例。

  5. 定位到近源流量压制区域,根据需要执行以下封禁操作:近源流量压制

    • 封禁电信海外流量:单击电信海外后的操作,设置封禁时长后单击确定

    • 封禁联通海外流量:单击联通海外后的操作,设置封禁时长后单击确定

    说明

    建议您优先封禁电信海外流量,并观察攻击规模的变化趋势。如果攻击流量还是很大,超过当前防护能力,则可以考虑再封禁联通海外流量。

    您可以单击查看封禁信息,查看本次封禁的区域和时间范围。流量封禁期间,您可以单击解封,提前解除对应线路的海外流量封禁。

执行结果

如果近源流量压制失败,您会收到失败提示信息,请根据提示排查问题后再次尝试。如果未出现任何提示信息,则表示近源流量压制已成功。