DDoS攻击是一种针对目标系统的恶意网络攻击行为,会导致被攻击者的业务无法正常访问。阿里云免费为NAT网关提供最高5 Gbps的DDoS基础防护,DDoS基础防护服务可以有效防止DDoS攻击。

DDoS基础防护工作原理

NAT网关默认开启DDoS基础防护能力,提供不超过5 Gbps的基础DDoS防护能力。所有来自互联网的流量都要先经过云盾再到达NAT网关实例,云盾会针对常见的攻击进行清洗过滤。更多信息,请参见什么是DDoS原生防护
说明 当来自互联网的流量大于DDoS防护能力时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被屏蔽。DDoS基础防护各个地域默认初始黑洞触发阈值,请参见DDoS基础防护黑洞阈值。NAT网关实例的实际黑洞阈值与所在地域及带宽有关,请以资产中心页面显示为准。
流量清洗的触发条件包括:
  • 流量模型的特征。当流量符合攻击流量模型特征时,将触发流量清洗。
  • 流量大小。DDoS基础防护根据NAT网关实例的带宽自动设定清洗阈值,当流量达到设置的阈值时,无论是否为正常业务流量,云盾都会启动流量清洗。
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。DDoS基础防护涉及以下清洗阈值:
  • BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。
  • PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。

清洗阈值

NAT网关的清洗阈值计算方式如下表所示:
EIP实例带宽(单位:Mbps) 最大BPS清洗阈值(单位:Mbps) 最大PPS清洗阈值(单位:pps)
≤300 450 10万
>300 EIP实例带宽值×1.5 EIP实例带宽值×1000

例如,EIP带宽为1000 Mbps,则最大BPS清洗阈值为1500 Mbps,最大PPS清洗阈值为100万。

当EIP实例绑定云资源后,清洗阈值会有所变化,请以DDoS防护产品控制台的资产中心页面显示为准。更多信息,请参见资产中心