ESA结合DDoS数据分析看板、网络层/传输层(L3/L4)防御和应用层(L7)防御,来抵御外部的DDoS的攻击。
什么是DDoS攻击
分布式拒绝服务(DDoS)攻击的目的不是窃取数据,而是通过消耗资源的方式,让业务陷入瘫痪。DDoS攻击的实施通常分为三个步骤:
组建僵尸网络: 攻击者通过各种手段(如病毒、木马、漏洞利用)在互联网上感染和控制大量的终端设备,将它们组建成一个庞大的、听其号令的“僵尸网络”。
下达攻击指令: 攻击者通过控制端服务器,向所有“僵尸主机”下达攻击指令,指定要攻击的目标(例如您的网站IP地址或域名)。
发起集火攻击: 遍布全球的“僵尸主机”在收到指令后,立刻从四面八方向您的服务器发起海量请求,形成一股巨大的攻击流量,最终压垮您的服务。
由于攻击源头极其分散,遍布全球,这使得追踪和封堵攻击源变得异常困难。
常见的DDoS攻击类型
DDoS攻击手段繁多,根据攻击方式的不同,可以分为以下两种:
网络层/传输层(L3/L4)攻击
工作原理: 这类攻击主要针对网络基础设施,通过发送大量构造的TCP或UDP数据包,快速耗尽服务器的带宽资源或连接数表,使得正常的用户请求无法到达服务器。
常见类型: SYN Flood、UDP Flood、ACK Flood等。
特点: 流量巨大,简单粗暴,旨在用绝对的流量压垮目标。
应用层(L7)攻击
工作原理: 这类攻击模仿正常用户的行为,向目标应用程序发起大量看似合法的请求(如HTTP GET/POST请求)。它不像堵塞公路,更像是派了无数“假顾客”去占用店里所有服务员的时间,让他们处理各种复杂的咨询,从而耗尽服务器的CPU、内存等应用处理资源。
常见类型: HTTP Flood,通常也被称为CC攻击(Challenge Collapsar)。
特点: 流量不一定巨大,但请求非常复杂,攻击流量与正常用户流量混杂在一起,难以分辨,防护难度更高。
如何判断是否遭受了DDoS攻击
如果业务出现以下一个或多个情况时,可能正在遭受DDoS攻击:
网站或应用突然无法访问,或响应速度变得极慢。
网络流量异常激增,远超正常业务峰值。您可以在ESA控制台的站点概况页中的数据概览报表直观地看到这一变化。
服务器CPU或内存使用率飙升,长时间处于100%的满负荷状态。
日志中出现海量请求,这些请求通常来自大量不同的、无规律的IP地址。您可以使用ESA安全防护的安全分析功能来进行快速排查。
ESA中DDoS防护功能介绍
分类 | 功能项 | 功能描述 |
抵御网络层/传输层攻击(L3/L4层攻击) | ESA为Entrance、Pro、Premium套餐默认提供DDoS基础防护(即平台级防护),DDoS基础防护可防护不高于10Gbps的DDoS攻击但不承诺具体数值。 | |
Enterprise可加购最高Tbps级全力防护,且支持同时防护四层代理业务。 | ||
抵御应用层攻击(L7层攻击) | HTTP DDoS攻击防护是阿里云DDoS防护引擎基于海量历史攻防经验沉淀的通用防护规则,这些通用的防护规则可以减少攻击发生瞬间透传到源站的CC攻击。 | |
攻击发生时,防护引擎会持续学习攻击特征,并智能生成动态的、更具针对性的防护策略,进一步提升拦截效果(此过程通常在数分钟内完成)。 | ||
DDoS攻击数据分析 | ESA会将DDoS攻击结果根据网络层次进行分类,针对攻击峰值、带宽进行统计并且可实时显示清洗事件处理进程。 | |
ESA将DDoS攻击根据网络层次进行分类为:流量型(网络层攻击)、Web资源耗尽型(应用层攻击)。可以根据时间跨度以及攻击类型筛选查看攻击详情。 |
防护等级说明
服务区域 | 防护等级 | 说明 |
中国内地 | 保底30Gbps,最大300Gbps防护 | 至少防护30Gbps攻击,另外您可以弹性设置300Gbps以下的防护带宽,例如设置为200Gbps,则30Gbps~200Gbps间的实际攻击带宽将按弹性防护价格计费。 如果攻击超过您设置的弹性防护带宽将会触发黑洞,导致您的站点业务中断。 |
保底60Gbps,最大600Gbps防护 | 至少防护60Gbps攻击,另外您可以弹性设置600Gbps以下的防护带宽,例如设置为500Gbps,则60Gbps~500Gbps间的实际攻击带宽将按弹性防护价格计费。如果攻击超过您设置的弹性防护带宽将会触发黑洞,导致您的站点业务中断。 | |
全球(不含中国内地) | 最大300Gbps | 最高防护300Gbps攻击,如果攻击超过300Gbps将会触发黑洞,导致您的站点业务中断。 |
Tbps级别Anycast无限防护(月2次) | 可防护1Tbps攻击,每月仅提供2次防护。如果攻击超过1Tbps将会触发黑洞,导致您的站点业务中断。 说明 仅攻击峰值超过20Gbps的网络层攻击会消耗防护次数,应用层CC攻击不消耗防护次数。网络层攻击事件完全结束约半小时后记为1次消耗并开始重新计数。 | |
Tbps级别Anycast无限防护(不限次数) | 可防护1Tbps攻击,如果攻击超过1Tbps防护上限将会触发黑洞,导致您的站点业务中断。 |
攻击流量超出防护阈值触发黑洞机制时,此次攻击流量不计入弹性攻击带宽的计费。
示例1:例如您购买了保底30Gbps,最高弹性防护300Gbps的全力防护,实际攻击的入向流量达到500Gbps,ESA最终执行了黑洞处置,则本次防护将不会对30Gbps~300Gbps的弹性防护带宽计费。
示例2:例如您购买了保底60Gbps,最高弹性防护600Gbps的全力防护,但因ESA平台上同时发生多起大型攻击造成防护资源不足,在您的在线业务遭受的攻击入向流量达500Gbps时ESA提前执行了黑洞处置,则本次防护将不会对60Gbps~500Gbps的弹性防护带宽计费。
中国内地与全球(不含中国内地)的防护是相互独立的。例如您的站点的加速区域为全球,但仅选购了中国内地的最高弹性600Gbps全力防护,则中国内地以外区域遭受攻击时ESA将尽力调度请求至中国内地清洗攻击。由于ICP备案等问题,全球(不含中国内地)加速的站点暂不支持跨区防护。
弹性防护价格计费请联系我们。
不同套餐支持情况
功能分类 | 详细功能项 | Entrance(0 USD/月) | Pro(15 USD/月) | Premium(249 USD/月) | Enterprise(联系销售定制) |
DDoS基础防护 | |||||
全力防护 | 联系销售按需定制 | ||||
HTTP DDoS攻击防护 | |||||
深度学习和防护 | |||||
场景策略 |