DDoS攻击是一种针对目标系统的恶意网络攻击行为,会导致被攻击者的业务无法正常访问。阿里云免费为弹性公网IP(Elastic IP Address,简称EIP)提供不超过5 Gbps的DDoS基础防护。
DDoS基础防护工作原理
EIP实例默认开启DDoS基础防护能力,提供不超过5 Gbps的基础DDoS防护能力。所有来自互联网的流量都要先经过云盾再到达EIP实例,云盾会针对常见的攻击进行清洗过滤。更多信息,请参见什么是DDoS原生防护。
说明 当来自互联网的流量大于DDoS防护能力时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被屏蔽。DDoS基础防护各个地域默认初始黑洞触发阈值,请参见DDoS基础防护黑洞阈值。EIP实例的实际黑洞阈值与所在地域及带宽有关,请以资产中心页面显示为准。
流量清洗的触发条件包括:
- 流量模型的特征。当流量符合攻击流量模型特征时,将触发流量清洗。
- 流量大小。DDoS基础防护根据EIP实例的带宽自动设定清洗阈值,当流量达到设置的阈值时,无论是否为正常业务流量,云盾都会启动流量清洗。
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。DDoS基础防护涉及以下清洗阈值:
- BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。
- PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。
清洗阈值
EIP实例的清洗阈值计算方式如下表所示:
| EIP实例带宽(单位:Mbps) | 最大BPS清洗阈值(单位:Mbps) |
|---|---|
| ≤300 | 450 |
| >300 | EIP实例带宽值×1.5 |
| EIP实例带宽(单位:Mbps) | 最大PPS清洗阈值(单位:pps) |
|---|---|
| ≤100 | 10万 |
| >100 | EIP实例带宽值×1000 |
例如,EIP带宽为200 Mbps,则最大BPS清洗阈值为450 Mbps,最大PPS清洗阈值为20万。
当EIP实例绑定云资源后,清洗阈值会有所变化,请以DDoS防护产品控制台的资产中心页面显示为准。更多信息,请参见资产中心。
查看EIP实例防护阈值
- 登录弹性公网IP管理控制台。
- 在顶部菜单栏处,选择EIP实例的地域。
- 在弹性公网IP页面,找到目标EIP实例,在安全防护列,将鼠标移至云盾图标,在弹出的气泡中,查看BPS清洗阈值、PPS清洗阈值、黑洞阈值。